Baggrund for angrebet
TSPY_ZBOT er Trend Micro’s registrering af malware relateret til det, som branchen kalder “ZeuS-botnetter”. ZeuS-botnet er faktisk en forkortet betegnelse for netværk af kompromitterede computere, der bruger ZeuS/ZBOT-trojanere i deres botnetrelaterede operationer. TSPY_ZBOT-varianter kommer typisk via spam, der ser ud til at komme fra legitime kilder, og som beder modtagerne om at klikke på et link. Det nævnte link fører til download af TSPY_ZBOT, som stille og roligt sætter sig i systemer og venter på, at brugerne indtaster deres legitimationsoplysninger til bestemte websteder.
Siden 2007 har Trend Micro overvåget ZBOT-familien. Antallet af ZBOT-detektioner er steget betydeligt i løbet af årene, som det fremgår af følgende blogindlæg:
- Holder øje med EYEBOT og en mulig botkrig
- ZBOT-variant Spoofs the NIC to Spam Other Government Agencies
- Ny ZBOT/ZeuS Binary Comes with a Hidden Message
- Phishere Target AOL IM Users
- SASFIS fiser i baggrunden
- Phishing i skikkelse af øget sikkerhed
- ZBOT sigter igen mod Facebook
- Endnu en ZBOT-spamkørsel
- Bogus “Balance Checker”-værktøj bærer malware
- Er du blevet (Facebook-)phishet?
Læs flere ZBOT/ZeuS-relaterede indlæg her.
Til dato har Trend Micro set over 2.000 ZBOT-detekteringer, og antallet fortsætter med at stige.
Hvad er forskellen på ZeuS, ZBOT og Kneber?
Disse navne relaterer alle til ZeuS-botnettet, som er et etableret crimeware-botnet, der siges at være ansvarlig for andre kendte botnet i naturen. Den tidligste bemærkelsesværdige brug af ZeuS-trojaneren var via den berygtede Rock Phish Gang, som er kendt for sine letanvendelige phishing-sidekits. Udtrykket “ZBOT” er Trend Micro’s detektionsnavn for al malware, der er involveret i det massive botnet. Kneber-botnettet er i mellemtiden et nyligt opfundet begreb, der vedrører et specifikt ZBOT/ZeuS-kompromis.
Hvordan kommer denne trussel ind i brugernes systemer?
Truslen kan ankomme som en spam-besked eller kan ubevidst blive downloadet fra kompromitterede websteder. Størstedelen af ZBOT-detektionerne har vist sig at være rettet mod bankrelaterede websteder. De seneste spamkørsler har dog vist en stigende diversitet i målene. Listen over bemærkelsesværdige ZBOT-varianter omfatter TROJ_ZBOT.SVR, som blev brugt til at spamme offentlige myndigheder, TSPY_ZBOT.JF, som var rettet mod AIM-brugere, og TSPY_ZBOT.CCB, som var rettet mod det sociale netværkssite Facebook.
Hvordan narrer den brugerne til at klikke på links?
Spammed-beskeder udgiver sig typisk for at være fra legitime virksomheder og for nylig fra offentlige myndigheder. ZBOT-varianter er ligeledes blevet fundet i en spam-kørsel, der benytter sig af populære begivenheder som Michael Jacksons død.
Hvad er det primære formål med ZeuS-botnettet?
Det er primært designet til datatyveri eller til at stjæle kontooplysninger fra forskellige websteder som f.eks. netbank, sociale netværk og e-handelswebsteder.
Hvordan tjener denne trussel penge til sine gerningsmænd?
Den genererer en liste over bankrelaterede websteder eller finansielle institutioner, hvorfra den forsøger at stjæle følsomme online-bankoplysninger såsom brugernavne og adgangskoder. Derefter overvåger den brugerens webbrowsing-aktiviteter (både HTTP og HTTPS) ved hjælp af browservinduets titler eller URL’er i adresselinjen som udløsende faktorer for angrebet. Denne rutine risikerer at afsløre brugerens kontooplysninger, hvilket kan føre til uautoriseret brug af de stjålne data.
Hvem er i farezonen?
Brugere med ZBOT-inficerede systemer, der logger ind på et af de målrettede websteder, risikerer at miste personlige oplysninger til cyberkriminelle.
Hvad gør den skadelige software med de oplysninger, den indsamler?
Den sender de indsamlede oplysninger via HTTP POST til fjern-URL’er. Cyberkriminelle kan derefter bruge disse oplysninger til deres ondsindede aktiviteter. De kan sælges på undergrundsmarkeder.
Hvad gør denne trussel vedvarende?
Ud over dens social engineering-taktikker og evigt udviklende spamming-teknikker gør ZBOT det vanskeligt at opdage den på grund af dens rootkit-funktioner. Når ZBOT installerer sig selv på et ramt system, opretter den en mappe med attributterne System og Hidden for at forhindre brugere i at opdage og fjerne dens komponenter. Desuden er ZBOT i stand til at deaktivere Windows Firewall og til at injicere sig selv i processer for at blive hukommelsesresidente. Den afslutter også sig selv, hvis visse kendte firewallprocesser findes på systemet. ZBOT-varianter indgår også i daisy-chain-downloads, der involverer andre malware-familier såsom WALEDAC og FAKEAV.
Så hvad kan jeg gøre for at beskytte min computer mod den trussel, som ZeuS-botnettet udgør?
Det er vigtigt, at brugerne er forsigtige, når de åbner e-mails og klikker på URL’er. Da ZBOT-malwareforbryderne konstant finder nye måder at angribe brugerne på, anbefales det, at brugerne anvender sikre computermetoder.
Vær på vagt over for phishing-sider, der udgiver sig for at være legitime websteder, da disse primært er designet til at narre uvidende brugere til at udlevere personlige oplysninger. At klikke på links i e-mails, der kommer fra ukendte afsendere, er en af de nemmeste måder at blive offer for ZBOT-angreb.
TSPY_ZBOT-varianter understøttes i øjeblikket af Trend Micro GeneriClean, en funktion, der findes i de fleste Trend Micro-produkter. Brugere skal manuelt scanne deres systemer for at udløse dette.
Løsninger, der understøttes af Trend Micro™ Smart Protection Network™, blokerer den spam, der bruges af dette botnet til at inficere brugere via e-mail-reputationstjenesten. Den kan registrere og forhindre udførelsen af ondsindede filer via file reputation-tjenesten. Den beskytter også brugerne mod ZBOT-varianter ved at blokere adgangen til ondsindede websteder via webreputationstjenesten samt mod telefon-hjem-forsøg, hvor en inficeret computer forsøger at uploade stjålne data eller downloade yderligere malware fra command-and-control (C&C)-servere.
Brugere af ikke-Trend Micro-produkter kan også kontrollere deres systemer ved hjælp af HouseCall, et gratis værktøj, der identificerer og fjerner alle former for virus, trojanske heste, orme, uønskede browser-plugins og anden malware fra de berørte systemer. De kan også bruge Web Protection Add-On til proaktivt at beskytte deres computere mod webtrusler og bot-relaterede aktiviteter. RUBotted kan bruges til at finde ud af, om deres maskiner er en del af et bot-netværk.
Nogle af vores heuristiske detektioner for denne trussel er MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 og MAL_ZBOT-7.
Fra felten: Ekspertindsigt
“Det nylige Kneber-botnetangreb er blot endnu et eksempel på, hvordan ZeuS-trojanere (eller ZBOT-filer) bliver brugt. Trend Micro har skrevet blogindlæg om det så tidligt som i 2007. Hvad os angår, er vi ikke engang overraskede.”
-Jamz Yaneza om det nylige Kneber-angreb og mediehypet omkring problemet
“Det er svært at være på forkant med det via antivirus, fordi ZeuS (ZBOT)-binærfiler løbende ændres et par gange om dagen for at unddrage sig opdagelse.”
-Paul Ferguson om et ZeuS-angreb i september 2009, hvor der blev brugt spam-beskeder, der angiveligt kom fra skattevæsenet (Internal Revenue Service (IRS)