Background of the Attack
TSPY_ZBOT is de Trend Micro-detectie voor malware die verband houdt met wat in de sector wordt aangeduid als “ZeuS-botnets”. ZeuS-botnet” is in feite een verkorte term voor netwerken van besmette computers die ZeuS/ZBOT Trojaanse paarden gebruiken in hun botnet-gerelateerde activiteiten. TSPY_ZBOT-varianten komen meestal binnen via spam die van legitieme bronnen afkomstig lijkt te zijn, waarbij ontvangers wordt gevraagd op een link te klikken. De genoemde link leidt naar de download van TSPY_ZBOT, die stilletjes in systemen zit te wachten tot gebruikers hun inloggegevens voor bepaalde sites intoetsen.
Sinds 2007 houdt Trend Micro de ZBOT-familie in de gaten. Het aantal ZBOT-detecties is in de loop der jaren aanzienlijk toegenomen, zoals te zien is in de volgende blogartikelen:
- EYEBOT in de gaten houden en een mogelijke botoorlog
- ZBOT-variant spooft het NIC om andere overheidsinstanties te spammen
- Nieuwe ZBOT/ZeuS Binary komt met een verborgen boodschap
- Phishers richten zich op AOL IM-gebruikers
- SASFIS dooft uit op de achtergrond
- Phishing onder het mom van betere beveiliging
- ZBOT richt zich weer op Facebook
- Another ZBOT Spam Run
- Bogus “Balance Checker” Tool Carries Malware
- Are You Being (Facebook) Phished?
Lees hier meer ZBOT/ZeuS-gerelateerde items.
Tot nu toe heeft Trend Micro meer dan 2.000 ZBOT-detecties gezien en het aantal blijft stijgen.
Wat is het verschil tussen ZeuS, ZBOT en Kneber?
Deze namen hebben allemaal betrekking op het ZeuS-botnet, een gevestigd crimeware-botnet waarvan wordt gezegd dat het verantwoordelijk is voor andere bekende botnets in het wild. Het eerste opvallende gebruik van de ZeuS Trojan was via de beruchte Rock Phish Gang, die bekend staat om zijn eenvoudig te gebruiken phishing-paginakits. De term “ZBOT” is de opsporingsnaam van Trend Micro voor alle malware die betrokken is bij het massale botnet. Het Kneber-botnet is een term die onlangs is bedacht voor een specifiek ZBOT/ZeuS-compromis.
Hoe komt deze bedreiging in de systemen van gebruikers terecht?
De bedreiging kan als een gespamd bericht binnenkomen of onbewust worden gedownload van gecompromitteerde websites. De meeste ZBOT-detecties bleken gericht te zijn op bankgerelateerde websites. Recente spamruns laten echter een toenemende diversiteit in doelwitten zien. Op de lijst van opmerkelijke ZBOT-varianten staan TROJ_ZBOT.SVR, dat werd gebruikt om overheidsinstanties te spammen; TSPY_ZBOT.JF, dat zich richtte op AIM-gebruikers; en TSPY_ZBOT.CCB, dat zich richtte op sociale netwerksite Facebook.
Hoe worden gebruikers verleid om op links te klikken?
De gespamde berichten doen zich meestal voor als zijnde afkomstig van legitieme bedrijven en, meer recentelijk, van overheidsinstanties. Er zijn ook ZBOT-varianten aangetroffen in spamberichten die inspelen op populaire gebeurtenissen, zoals de dood van Michael Jackson.
Wat is het primaire doel van het ZeuS-botnet?
Het is primair ontworpen voor gegevensdiefstal of om accountgegevens te stelen van verschillende sites, zoals sites voor online bankieren, sociale netwerken en e-commerce.
Hoe verdient deze bedreiging geld voor de daders?
Het genereert een lijst met bankgerelateerde websites of financiële instellingen waarvan het gevoelige informatie voor online bankieren probeert te stelen, zoals gebruikersnamen en wachtwoorden. Het controleert vervolgens de webbrowsingactiviteiten van de gebruiker (zowel HTTP als HTTPS) en gebruikt de titels van browservensters of URL’s in de adresbalk als triggers voor zijn aanval. Deze routine brengt het risico met zich mee dat de accountgegevens van de gebruiker worden onthuld, wat vervolgens kan leiden tot ongeoorloofd gebruik van de gestolen gegevens.
Wie lopen risico’s?
Gebruikers met een systeem dat is geïnfecteerd met ZBOT en die zich aanmelden op een van de gerichte sites, lopen het risico persoonlijke informatie te verliezen aan cybercriminelen.
Wat doet de malware met de informatie die het verzamelt?
De malware stuurt de verzamelde informatie via HTTP POST naar externe URL’s. Cybercriminelen kunnen deze informatie vervolgens gebruiken voor hun kwaadaardige activiteiten. Ze kunnen worden verkocht op ondergrondse markten.
Wat maakt deze dreiging hardnekkig?
Naast de social engineering-tactieken en de zich steeds verder ontwikkelende spamtechnieken, maakt ZBOT detectie moeilijk vanwege de rootkit-mogelijkheden. Nadat ZBOT zichzelf op een aangetast systeem heeft geïnstalleerd, maakt het een map aan met de attributen Systeem en Verborgen om te voorkomen dat gebruikers de onderdelen kunnen ontdekken en verwijderen. Verder is ZBOT in staat de Windows Firewall uit te schakelen en zichzelf in processen te injecteren om geheugenresident te worden. Het beëindigt zichzelf ook als bepaalde bekende firewallprocessen op het systeem worden aangetroffen. ZBOT-varianten komen ook voor in serieschakeling van downloads waarbij andere malwarefamilies betrokken zijn, zoals WALEDAC en FAKEAV.
Dus wat kan ik doen om mijn computer te beschermen tegen de dreiging die uitgaat van het ZeuS-botnet?
Het is belangrijk dat gebruikers voorzichtig zijn met het openen van e-mailberichten en het klikken op URL’s. Aangezien de daders van de ZBOT-malware voortdurend nieuwe manieren vinden om gebruikers aan te vallen, wordt gebruikers geadviseerd om veilige computerpraktijken toe te passen.
Wees op uw hoede voor phishingpagina’s die zich voordoen als legitieme websites, aangezien deze voornamelijk zijn ontworpen om onwetende gebruikers te verleiden tot het verstrekken van persoonlijke informatie. Het klikken op koppelingen in e-mails die afkomstig zijn van onbekende afzenders is een van de eenvoudigste manieren om ten prooi te vallen aan ZBOT-aanvallen.
TSPY_ZBOT-varianten worden momenteel ondersteund door Trend Micro GeneriClean, een functie die in de meeste Trend Micro producten te vinden is. Gebruikers moeten hun systemen handmatig scannen om dit te activeren.
Oplossingen die worden ondersteund door het Trend Micro™ Smart Protection Network™ blokkeren de spam die door dit botnet wordt gebruikt om gebruikers te infecteren via de e-mailreputatieservice. Het kan de uitvoering van schadelijke bestanden detecteren en voorkomen via de bestandsreputatieservice. De oplossing beschermt gebruikers ook tegen ZBOT-varianten door de toegang tot schadelijke sites te blokkeren via de webreputatieservice en tegen thuisbelpogingen waarbij een geïnfecteerde computer gestolen gegevens probeert te uploaden of extra malware probeert te downloaden van command-and-control (C&C)-servers.
Niet-Trend Micro productgebruikers kunnen hun systemen ook controleren met HouseCall, een gratis hulpprogramma waarmee allerlei virussen, Trojaanse paarden, wormen, ongewenste browserplug-ins en andere malware worden geïdentificeerd en verwijderd van aangetaste systemen. Ze kunnen ook Web Protection Add-On gebruiken om hun computers proactief te beschermen tegen webbedreigingen en botgerelateerde activiteiten. RUBotted kan worden gebruikt om te achterhalen of hun machines deel uitmaken van een botnetwerk.
Enkele van onze heuristische detecties voor deze bedreiging zijn MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6, en MAL_ZBOT-7.
Vanuit het veld: Expert Insights
“De recente aanval op het Kneber-botnet is het zoveelste voorbeeld van hoe ZeuS Trojaanse paarden (of ZBOT-bestanden) worden gebruikt. Trend Micro heeft hier al in 2007 blogartikelen over gepubliceerd. Wat ons betreft zijn we niet eens verrast.”
-Jamz Yaneza over de recente Kneber-aanval en de mediahype rond de kwestie
“Het is moeilijk om het via antivirus voor te blijven omdat ZeuS (ZBOT) binaries voortdurend een paar keer per dag veranderen om detectie te omzeilen.”
-Paul Ferguson over een ZeuS-aanval in september 2009 waarbij gebruik werd gemaakt van spamberichten die zogenaamd afkomstig waren van de Internal Revenue Service (IRS)