Pozadí útoku
TSPY_ZBOT je detekce společnosti Trend Micro pro malware související s takzvanými „botnety ZeuS“. ZeuS botnet je ve skutečnosti zkrácený výraz pro sítě napadených počítačů, které při svých operacích souvisejících s botnetem používají trojské koně ZeuS/ZBOT. Varianty TSPY_ZBOT obvykle přicházejí prostřednictvím spamu, který se tváří, že pochází z legitimních zdrojů, a žádá příjemce o kliknutí na odkaz. Zmíněný odkaz vede ke stažení TSPY_ZBOT, který tiše sedí v systémech a čeká, až uživatelé zadají své přihlašovací údaje na konkrétní stránky.
Od roku 2007 společnost Trend Micro monitoruje rodinu ZBOT. Počet detekcí ZBOT v průběhu let výrazně vzrostl, jak je patrné z následujících příspěvků na blogu:
- Sledujeme EYEBOT a možnou válku botů
- Varianta ZBOT podvrhuje síťovou kartu, aby spamovala další vládní agentury
- Nová binárka ZBOT/ZeuS přichází se skrytou zprávou
- Phishery se zaměřují na uživatele AOL IM
- SASFIS šumí v pozadí
- Phishing pod rouškou zvýšení bezpečnosti
- ZBOT opět cílí na Facebook
- Další spuštění spamu ZBOT
- Nástroj „Balance Checker“ společnosti Bogus nese malware
- Jste (na Facebooku) phishováni?
.
Další příspěvky týkající se ZBOT/ZeuS si můžete přečíst zde.
K dnešnímu dni společnost Trend Micro zaznamenala více než 2 000 detekcí ZBOT a jejich počet stále roste.
Jaký je rozdíl mezi názvy ZeuS, ZBOT a Kneber?
Všechny tyto názvy se vztahují k botnetu ZeuS, což je zavedený botnet typu crimeware, který je údajně zodpovědný za další známé botnety v přírodě. Nejdříve byl trojský kůň ZeuS významně použit prostřednictvím známého gangu Rock Phish, který je známý svými snadno použitelnými sadami phishingových stránek. Termín „ZBOT“ je detekční název společnosti Trend Micro pro veškerý malware zapojený do masivního botnetu. Botnet Kneber je mezitím nedávno vytvořený termín vztahující se ke konkrétní kompromitaci ZBOT/ZeuS.
Jak se tato hrozba dostává do systémů uživatelů?
Hrozba může přijít jako nevyžádaná zpráva nebo může být nevědomky stažena z napadených webových stránek. Bylo zjištěno, že většina detekcí ZBOT se zaměřuje na webové stránky související s bankami. Nedávné spuštění spamu však ukázalo rostoucí rozmanitost cílů. Seznam pozoruhodných variant ZBOT zahrnuje TROJ_ZBOT.SVR, který byl použit ke spamování vládních agentur; TSPY_ZBOT.JF, který se zaměřoval na uživatele AIM; a TSPY_ZBOT.CCB, který se zaměřoval na sociální síť Facebook.
Jak obelstí uživatele, aby klikali na odkazy?
Spamové zprávy se obvykle vydávají za zprávy od legitimních společností a v poslední době i od vládních agentur. Stejně tak byly nalezeny varianty ZBOT v běhu spamu, který se veze na populárních událostech, jako je smrt Michaela Jacksona.
Jaký je primární účel botnetu ZeuS?
Je primárně určen ke krádeži dat nebo ke krádeži informací o účtech z různých webů, jako je online bankovnictví, sociální sítě a weby elektronického obchodování.
Jak tato hrozba vydělává peníze pro své pachatele?
Vytváří seznam webových stránek souvisejících s bankami nebo finančními institucemi, ze kterých se pokouší ukrást citlivé informace o online bankovnictví, jako jsou uživatelská jména a hesla. Poté sleduje aktivity uživatele při procházení webu (HTTP i HTTPS) a jako spouštěče útoku používá názvy oken prohlížeče nebo adresy URL v adresním řádku. Při této rutině hrozí odhalení informací o účtu uživatele, což pak může vést k neoprávněnému použití ukradených údajů.
Kdo je ohrožen?
Uživatelé s infikovanými systémy ZBOT, kteří se přihlásí na některou z cílových stránek, jsou vystaveni riziku ztráty osobních údajů ve prospěch kyberzločinců.
Co malware dělá se shromážděnými informacemi?
Shromážděné informace odesílá prostřednictvím HTTP POST na vzdálené adresy URL. Kyberzločinci pak mohou tyto informace použít pro své škodlivé aktivity. Mohou být prodávány na nelegálních trzích.
Co činí tuto hrozbu odolnou?
Kromě taktiky sociálního inženýrství a stále se vyvíjejících technik rozesílání spamu ztěžuje ZBOT odhalení díky svým schopnostem rootkitů. Po instalaci do napadeného systému vytvoří ZBOT složku s atributy nastavenými na Systém a Skrytý, aby zabránil uživatelům odhalit a odstranit jeho součásti. Kromě toho je ZBOT schopen deaktivovat bránu Windows Firewall a injektovat se do procesů, aby se stal rezidentem paměti. Rovněž se sám ukončí, pokud jsou v systému nalezeny určité známé procesy brány firewall. Varianty ZBOT také figurují v řetězových stahováních zahrnujících další rodiny malwaru, jako jsou WALEDAC a FAKEAV.
Co tedy mohu udělat pro ochranu svého počítače před hrozbou, kterou představuje botnet ZeuS?
Je důležité, aby uživatelé dbali zvýšené opatrnosti při otevírání e-mailových zpráv a při klikání na adresy URL. Vzhledem k tomu, že pachatelé malwaru ZBOT neustále hledají nové způsoby, jak na uživatele zaútočit, doporučujeme uživatelům používat bezpečné počítačové postupy.
Dávejte si pozor na phishingové stránky, které se vydávají za legitimní webové stránky, protože jejich cílem je především oklamat nevědomé uživatele a přimět je k předání osobních údajů. Klikání na odkazy v e-mailech, které přicházejí od neznámých odesílatelů, je jedním z nejjednodušších způsobů, jak se stát obětí útoků ZBOT.
Varianty ZBOT_TSPY jsou v současné době podporovány funkcí Trend Micro GeneriClean, která se nachází ve většině produktů Trend Micro. Pro její spuštění musí uživatelé ručně zkontrolovat své systémy.
Řešení podporovaná sítí Trend Micro™ Smart Protection Network™ blokují nevyžádanou poštu, kterou tento botnet používá k infikování uživatelů prostřednictvím služby pro reputaci e-mailů. Prostřednictvím služby pro reputaci souborů dokáže detekovat škodlivé soubory a zabránit jejich spuštění. Chrání také uživatele před variantami ZBOT blokováním přístupu na škodlivé weby prostřednictvím služby webové reputace a také před pokusy o telefonní návštěvu, kdy se infikovaný počítač pokouší odeslat ukradená data nebo stáhnout další malware ze serverů příkazů a řízení (C&C).
Uživatelé produktů jiných než Trend Micro mohou také zkontrolovat své systémy pomocí bezplatného nástroje HouseCall, který identifikuje a odstraňuje všechny druhy virů, trojských koní, červů, nežádoucích zásuvných modulů prohlížeče a dalšího malwaru z napadených systémů. Mohou také používat doplněk Web Protection Add-On, který proaktivně chrání jejich počítače před webovými hrozbami a aktivitami souvisejícími s boty. Pomocí nástroje RUBotted mohou zjistit, zda jsou jejich počítače součástí sítě botů.
Některé z našich heuristických detekcí této hrozby jsou MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 a MAL_ZBOT-7.
Z oblasti:
„Nedávný útok botnetu Kneber je jen další ukázkou toho, jak se používají trojské koně ZeuS (neboli soubory ZBOT). Společnost Trend Micro o tom zveřejňovala příspěvky na blogu již v roce 2007. Pokud jde o nás, ani nás to nepřekvapuje.“
-Jamz Yaneza o nedávném útoku Kneber a mediálním humbuku kolem tohoto problému
„Je obtížné udržet si před ním náskok prostřednictvím antiviru, protože binární soubory ZeuS (ZBOT) se neustále mění několikrát denně, aby unikly detekci.“
-Paul Ferguson o útoku ZeuS z loňského září 2009, který využíval spamové zprávy údajně od daňového úřadu (IRS)
.