O ZeuS / ZBOT retorna. O que h√° de novo?

Varia√ß√Ķes do infame ZeuS / ZBOT est√£o de volta, para vingar. Um aumento na atividade de uma vers√£o diferente de malware j√° foi observado. Nas previs√Ķes para as amea√ßas online de 2013 publicadas em janeiro pela empresa de seguran√ßa Trend Micro, Eles previram que o cibercrime seria caracterizado pelo retorno de amea√ßas antigas que retornariam melhoradas. Desde o primeiro trimestre do ano, a verdade deste post se mostrou verdadeira, √† medida que amea√ßas como CARBERP e botnet Andromeda foram apresentadas.

Agora podemos incluir o malware ZeuS / ZBot nas amea√ßas antigas, mas atualizadas, que surgiram nos √ļltimos meses, de acordo com o banco de dados da Trend Micro Smart Protection Network.

As varia√ß√Ķes do ZBot aumentaram no in√≠cio de fevereiro e continuam ativas at√© hoje. De fato, como mostra o projeto, eles atingiram o pico em meados de maio de 2013. Esses programas maliciosos foram projetados para roubar credenciais dos usu√°rios, que podem ser credenciais banc√°rias e outras informa√ß√Ķes pessoais.

ZBOT-2013

A primeira gera√ß√£o de varia√ß√Ķes do ZBot cria uma pasta em% System% na qual armazena os dados roubados e os arquivos de configura√ß√£o. Geralmente, na mesma pasta, ele se copia para ter um backup de malware. Essas vers√Ķes do ZBot modificam o arquivo de hosts do Windows para impedir que as v√≠timas acessem sites de seguran√ßa relevantes. As seq√ľ√™ncias anexadas ao arquivo hosts podem ser vistas no arquivo de configura√ß√Ķes. Um exemplo de vers√Ķes mais antigas do ZBot inclui TSPY_ZBOT.SMD e TSPY_ZBOT.XMAS.

Nas variantes atuais do ZBot, observou-se que elas criam duas pastas com um nome aleatório em% Applications Data%. Uma pasta contém a cópia da pasta que contém o ZBot enquanto a outra pasta contém os dados criptografados. Um exemplo é o TSPY_ZBOT.BBH, encontrado em todo o mundo e registrado pela Smart Protection Network.

As novas variantes enviam consultas DNS para domínios aleatórios. A diferença em uma variante (GamOver) é que ela abre uma porta UDP aleatória e envia pacotes criptografados antes de enviar consultas DNS para domínios aleatórios.

Mas como esse malware pode roubar suas credenciais?

O malware do ZBot se conecta a um local remoto para baixar um arquivo criptografado que cont√©m suas configura√ß√Ķes.

Comunicação ZBOT

Figura 2. Instant√Ęneo da comunica√ß√£o do ZBot no servidor C & C,

Podemos ver as seguintes informa√ß√Ķes se o arquivo de configura√ß√£o for descriptografado:

  • Espa√ßo para armazenar uma c√≥pia atualizada do malware.
  • Lista de sites a serem monitorados.
  • Espa√ßo que enviar√° os dados roubados.
  • Esses arquivos de configura√ß√Ķes cont√™m os bancos e outras institui√ß√Ķes financeiras que os ZBOTs desejam monitorar nos navegadores.Como os arquivos de configura√ß√£o s√£o baixados de locais remotos, seu conte√ļdo pode ser alterado a qualquer momento.

    Solu√ß√Ķes Trend Micro para variantes do ZBot

    Existem muitos campos que podem ser detectados, como:

  • Primeiro, o malware tenta gravar no registro Userinit do log HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
  • Segundo, a detec√ß√£o de recupera√ß√£o de rotina do site remoto durante a execu√ß√£o, √† medida que obt√©m seu arquivo de configura√ß√£o
  • Por fim, a detec√ß√£o da √°rea planejada para enviar os dados roubados ou fazer o download de uma c√≥pia atualizada de si mesma.
  • Conclus√£o

    O que podemos aprender com o novo ZeuS / ZBOT? Amea√ßas antigas como o ZBot sempre podem voltar, porque os criminosos que os gerenciam lucram com eles. Eles est√£o procurando informa√ß√Ķes banc√°rias e outras informa√ß√Ķes pessoais dos usu√°rios e s√£o um neg√≥cio lucrativo. √Č importante ter muito cuidado ao abrir e-mails ou clicar em links. Obviamente, nossos sistemas devem estar sempre atualizados com as vers√Ķes de seguran√ßa mais recentes dos fornecedores de seguran√ßa e devemos usar solu√ß√Ķes antimalware confi√°veis.

    Para saber mais sobre como os cibercriminosos roubam informa√ß√Ķes, consulte o infogr√°fico abaixo.

    Clique para ampliar

    Cybercriminal Underground (Banco on-line atualizado)