Variações do infame ZeuS / ZBOT estão de volta, para vingar. Um aumento na atividade de uma versão diferente de malware já foi observado. Nas previsões para as ameaças online de 2013 publicadas em janeiro pela empresa de segurança Trend Micro, Eles previram que o cibercrime seria caracterizado pelo retorno de ameaças antigas que retornariam melhoradas. Desde o primeiro trimestre do ano, a verdade deste post se mostrou verdadeira, à medida que ameaças como CARBERP e botnet Andromeda foram apresentadas.
Agora podemos incluir o malware ZeuS / ZBot nas ameaças antigas, mas atualizadas, que surgiram nos últimos meses, de acordo com o banco de dados da Trend Micro Smart Protection Network.
As variações do ZBot aumentaram no início de fevereiro e continuam ativas até hoje. De fato, como mostra o projeto, eles atingiram o pico em meados de maio de 2013. Esses programas maliciosos foram projetados para roubar credenciais dos usuários, que podem ser credenciais bancárias e outras informações pessoais.
A primeira geração de variações do ZBot cria uma pasta em% System% na qual armazena os dados roubados e os arquivos de configuração. Geralmente, na mesma pasta, ele se copia para ter um backup de malware. Essas versões do ZBot modificam o arquivo de hosts do Windows para impedir que as vítimas acessem sites de segurança relevantes. As seqüências anexadas ao arquivo hosts podem ser vistas no arquivo de configurações. Um exemplo de versões mais antigas do ZBot inclui TSPY_ZBOT.SMD e TSPY_ZBOT.XMAS.
Nas variantes atuais do ZBot, observou-se que elas criam duas pastas com um nome aleatório em% Applications Data%. Uma pasta contém a cópia da pasta que contém o ZBot enquanto a outra pasta contém os dados criptografados. Um exemplo é o TSPY_ZBOT.BBH, encontrado em todo o mundo e registrado pela Smart Protection Network.
As novas variantes enviam consultas DNS para domínios aleatórios. A diferença em uma variante (GamOver) é que ela abre uma porta UDP aleatória e envia pacotes criptografados antes de enviar consultas DNS para domínios aleatórios.
Mas como esse malware pode roubar suas credenciais?
O malware do ZBot se conecta a um local remoto para baixar um arquivo criptografado que contém suas configurações.
Figura 2. Instantâneo da comunicação do ZBot no servidor C & C,
Podemos ver as seguintes informações se o arquivo de configuração for descriptografado:
Esses arquivos de configurações contêm os bancos e outras instituições financeiras que os ZBOTs desejam monitorar nos navegadores.Como os arquivos de configuração são baixados de locais remotos, seu conteúdo pode ser alterado a qualquer momento.
Soluções Trend Micro para variantes do ZBot
Existem muitos campos que podem ser detectados, como:
Conclusão
O que podemos aprender com o novo ZeuS / ZBOT? Ameaças antigas como o ZBot sempre podem voltar, porque os criminosos que os gerenciam lucram com eles. Eles estão procurando informações bancárias e outras informações pessoais dos usuários e são um negócio lucrativo. É importante ter muito cuidado ao abrir e-mails ou clicar em links. Obviamente, nossos sistemas devem estar sempre atualizados com as versões de segurança mais recentes dos fornecedores de segurança e devemos usar soluções antimalware confiáveis.
Para saber mais sobre como os cibercriminosos roubam informações, consulte o infográfico abaixo.
Clique para ampliar