O ZeuS / ZBOT retorna. O que há de novo?

Variações do infame ZeuS / ZBOT estão de volta, para vingar. Um aumento na atividade de uma versão diferente de malware já foi observado. Nas previsões para as ameaças online de 2013 publicadas em janeiro pela empresa de segurança Trend Micro, Eles previram que o cibercrime seria caracterizado pelo retorno de ameaças antigas que retornariam melhoradas. Desde o primeiro trimestre do ano, a verdade deste post se mostrou verdadeira, à medida que ameaças como CARBERP e botnet Andromeda foram apresentadas.

Agora podemos incluir o malware ZeuS / ZBot nas ameaças antigas, mas atualizadas, que surgiram nos últimos meses, de acordo com o banco de dados da Trend Micro Smart Protection Network.

As variações do ZBot aumentaram no início de fevereiro e continuam ativas até hoje. De fato, como mostra o projeto, eles atingiram o pico em meados de maio de 2013. Esses programas maliciosos foram projetados para roubar credenciais dos usuários, que podem ser credenciais bancárias e outras informações pessoais.

ZBOT-2013

A primeira geração de variações do ZBot cria uma pasta em% System% na qual armazena os dados roubados e os arquivos de configuração. Geralmente, na mesma pasta, ele se copia para ter um backup de malware. Essas versões do ZBot modificam o arquivo de hosts do Windows para impedir que as vítimas acessem sites de segurança relevantes. As seqüências anexadas ao arquivo hosts podem ser vistas no arquivo de configurações. Um exemplo de versões mais antigas do ZBot inclui TSPY_ZBOT.SMD e TSPY_ZBOT.XMAS.

Nas variantes atuais do ZBot, observou-se que elas criam duas pastas com um nome aleatório em% Applications Data%. Uma pasta contém a cópia da pasta que contém o ZBot enquanto a outra pasta contém os dados criptografados. Um exemplo é o TSPY_ZBOT.BBH, encontrado em todo o mundo e registrado pela Smart Protection Network.

As novas variantes enviam consultas DNS para domínios aleatórios. A diferença em uma variante (GamOver) é que ela abre uma porta UDP aleatória e envia pacotes criptografados antes de enviar consultas DNS para domínios aleatórios.

Mas como esse malware pode roubar suas credenciais?

O malware do ZBot se conecta a um local remoto para baixar um arquivo criptografado que contém suas configurações.

Comunicação ZBOT

Figura 2. Instantâneo da comunicação do ZBot no servidor C & C,

Podemos ver as seguintes informações se o arquivo de configuração for descriptografado:

  • Espaço para armazenar uma cĂłpia atualizada do malware.
  • Lista de sites a serem monitorados.
  • Espaço que enviará os dados roubados.
  • Esses arquivos de configurações contĂŞm os bancos e outras instituições financeiras que os ZBOTs desejam monitorar nos navegadores.Como os arquivos de configuração sĂŁo baixados de locais remotos, seu conteĂşdo pode ser alterado a qualquer momento.

    Soluções Trend Micro para variantes do ZBot

    Existem muitos campos que podem ser detectados, como:

  • Primeiro, o malware tenta gravar no registro Userinit do log HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
  • Segundo, a detecção de recuperação de rotina do site remoto durante a execução, Ă  medida que obtĂ©m seu arquivo de configuração
  • Por fim, a detecção da área planejada para enviar os dados roubados ou fazer o download de uma cĂłpia atualizada de si mesma.
  • ConclusĂŁo

    O que podemos aprender com o novo ZeuS / ZBOT? Ameaças antigas como o ZBot sempre podem voltar, porque os criminosos que os gerenciam lucram com eles. Eles estão procurando informações bancárias e outras informações pessoais dos usuários e são um negócio lucrativo. É importante ter muito cuidado ao abrir e-mails ou clicar em links. Obviamente, nossos sistemas devem estar sempre atualizados com as versões de segurança mais recentes dos fornecedores de segurança e devemos usar soluções antimalware confiáveis.

    Para saber mais sobre como os cibercriminosos roubam informações, consulte o infográfico abaixo.

    Clique para ampliar

    Cybercriminal Underground (Banco on-line atualizado)