Новый инструментарий ZeuS

Эксперты SecureWorks опубликовали перечень новейших опций для ZeuS, которые появились в конце прошлого года и предлагаются на подпольном рынке за отдельную плату.

Троянец ZeuS Trojan-Spy.Win32.Zbot специализируется на краже информации с зараженного компьютера и предоставляется, как правило, в составе готовых комплектов для проведения кибератак, которые в последнее время приобрели большую популярность у сетевого криминала. Каждый обладатель ZeuS, создавая собственный ботнет, стремится внести свой вклад в совершенствование столь удобного публичного инструмента для монетизации корыстных помыслов.

По свидетельству исследователей, последняя версия базового комплекта ZeuS распространяется на платной основе и защищена своего рода лицензией. Активацию кода на машине обеспечивает типовой механизм защиты от пиратства, который основан на привязке к конкретной аппаратной конфигурации.

На настоящий момент вирусописателями разработан ряд модулей, расширяющих возможности администрирования ZeuS. Самый мощный и дорогостоящий из них позволяет злоумышленникам поддерживать полноценную связь с зараженным компьютером, контролируя все его аппаратные и программные ресурсы. Используя VNC-модуль (Virtual Network Computing), оператор ботнета может обходить большинство аппаратных средств аутентификации, применяемых банками, и отчислять любые суммы со счетов жертвы, не опасаясь поднять тревогу.

Более ограниченными возможностями обладает маскировочный модуль, который в случае банковской проверки удостоверяет, что финансовая операция проведена с компьютера держателя счета. Компонент, ориентированный на Firefox, позволяет ZeuS воровать персональные идентификаторы, вводимые в формы через этот веб-браузер. Уведомитель режима реального времени обеспечивает мгновенную отсылку украденных данных через Jabber-клиент. Еще один новый модуль расширяет диапазон мишеней, позволяя атаковать не только машины под Windows XP, но также под Windows 7 и Vista.

По имеющимся сведениям, в настоящее время вирусописатели проводят бета-тестирование следующей версии троянца — ZeuS 1.4. Она будет обладать расширенными возможностями работы с браузером Firefox, позволяя на лету внедрять дополнительное поле в легитимную страницу, воспроизводимую на экране. Если владелец зараженного компьютера заходит на банковский сайт и не очень внимателен, ему придется вводить не только привычные идентификаторы, но и ту информацию, которая интересует злоумышленников. В настоящее время такой трюк ZeuS выполняет только на машинах, использующих IE.

Но основным нововведением станет полиморфное шифрование. Троянец сможет перепаковываться при каждом заражении, и для резидентных файлов будут генерироваться произвольные имена. Таким образом, боты ZeuS станут носителями уникальных цифровых отпечатков, и идентифицировать их будет еще сложнее.