Background of the Attack
TSPY_ZBOT jest wykrywany przez Trend Micro jako złośliwe oprogramowanie związane z tym, co branża nazywa „botnetami ZeuS”. Botnet ZeuS jest w rzeczywistości skróconym określeniem sieci skompromitowanych komputerów, które wykorzystują trojany ZeuS/ZBOT w swoich operacjach związanych z botnetami. Warianty TSPY_ZBOT są zazwyczaj rozsyłane za pośrednictwem spamu wyglądającego na pochodzący z legalnych źródeł i proszącego odbiorców o kliknięcie odsyłacza. Odsyłacz ten prowadzi do pobrania TSPY_ZBOT, który po cichu siedzi w systemach i czeka, aż użytkownicy wprowadzą swoje dane uwierzytelniające do określonych witryn.
Od 2007 r. firma Trend Micro monitoruje rodzinę ZBOT. Liczba wykrytych ZBOT-ów znacznie wzrosła na przestrzeni lat, co można zobaczyć w następujących wpisach na blogu:
- Keeping an Eye on the EYEBOT and a Possible Bot War
- ZBOT Variant Spoofs the NIC to Spam Other Government Agencies
- New ZBOT/ZeuS Binary Comes with a Hidden Message
- Phishers Target AOL IM Users
- Phishers Target AOL IM Users
- Przykłady.
- SASFIS skwierczy w tle
- Phishing pod przykrywką zwiększania bezpieczeństwa
- ZBOT ponownie atakuje Facebooka
- Kolejna seria spamu z ZBOTem
- Narzędzie „Balance Checker” firmy Bogus przenosi złośliwe oprogramowanie
- Czy jesteś wyłudzany (z Facebooka)?
Czytaj więcej wpisów dotyczących ZBOT/ZeuS tutaj.
Do tej pory firma Trend Micro wykryła ponad 2000 ZBOT-ów, a liczba ta wciąż rośnie.
Jaka jest różnica między ZeuS, ZBOT i Kneber?
Wszystkie te nazwy odnoszą się do botnetu ZeuS, który jest uznanym botnetem typu crimeware, o którym mówi się, że jest odpowiedzialny za inne znane botnety w środowisku naturalnym. Trojan ZeuS został najwcześniej wykorzystany przez osławiony Rock Phish Gang, który jest znany z łatwych w użyciu zestawów do phishingu. Termin „ZBOT” jest nazwą wykrywaną przez Trend Micro dla wszystkich złośliwych programów uczestniczących w tym ogromnym botnecie. Natomiast botnet Kneber to niedawno ukuty termin odnoszący się do konkretnego kompromisu ZBOT/ZeuS.
Jak to zagrożenie dostaje się do systemów użytkowników?
Zagrożenie może pojawić się w postaci wiadomości spamowej lub może zostać nieświadomie pobrane ze skompromitowanych stron internetowych. Większość wykrytych ZBOT-ów jest skierowana na strony internetowe związane z bankami. Jednak, ostatnie serie spamu wykazały rosnącą różnorodność celów. Lista godnych uwagi wariantów ZBOT-a obejmuje TROJ_ZBOT.SVR, który został wykorzystany do rozsyłania spamu do agencji rządowych; TSPY_ZBOT.JF, którego celem byli użytkownicy AIM; oraz TSPY_ZBOT.CCB, którego celem był serwis społecznościowy Facebook.
Jak podstępnie nakłania użytkowników do klikania odsyłaczy?
Spamowane wiadomości zazwyczaj podają się za pochodzące od legalnych firm, a ostatnio również od agencji rządowych. Warianty ZBOT-a zostały również znalezione w spamie bazującym na popularnych wydarzeniach, takich jak śmierć Michaela Jacksona.
Jaki jest główny cel botnetu ZeuS?
Jest on głównie przeznaczony do kradzieży danych lub wykradania informacji o kontach z różnych stron, takich jak bankowość online, sieci społecznościowe i strony e-commerce.
Jak to zagrożenie zarabia pieniądze dla swoich sprawców?
Generuje listę stron internetowych związanych z bankami lub instytucjami finansowymi, z których próbuje wykraść wrażliwe informacje bankowe online, takie jak nazwy użytkowników i hasła. Następnie monitoruje aktywność użytkownika podczas przeglądania stron internetowych (zarówno HTTP, jak i HTTPS), wykorzystując tytuły okien przeglądarki lub adresy URL paska adresu jako wyzwalacze ataku. Ta rutynowa procedura grozi ujawnieniem informacji o koncie użytkownika, co może następnie prowadzić do nieautoryzowanego wykorzystania skradzionych danych.
Kto jest zagrożony?
Użytkownicy systemów zainfekowanych przez ZBOT, którzy logują się do dowolnej z docelowych witryn, są narażeni na utratę informacji osobistych na rzecz cyberprzestępców.
Co szkodliwe oprogramowanie robi ze zgromadzonymi informacjami?
Wysyła zgromadzone informacje za pośrednictwem HTTP POST do zdalnych adresów URL. Cyberprzestępcy mogą następnie wykorzystać te informacje do swoich złośliwych działań. Mogą być sprzedawane na podziemnych rynkach.
Co sprawia, że to zagrożenie jest trwałe?
Oprócz taktyk socjotechnicznych i stale rozwijających się technik spamowania, ZBOT utrudnia wykrywanie dzięki możliwościom rootkita. Po zainstalowaniu się w zaatakowanym systemie, ZBOT tworzy folder z atrybutami ustawionymi na System i Ukryty, aby uniemożliwić użytkownikom wykrycie i usunięcie jego składników. Ponadto, ZBOT potrafi wyłączyć Zaporę systemu Windows i wstrzykiwać się do procesów, aby zostać rezydentem pamięci. Kończy również swój żywot w przypadku wykrycia w systemie pewnych znanych procesów firewalla. Warianty ZBOT również pojawiają się w łańcuchach pobierania z udziałem innych rodzin złośliwego oprogramowania, takich jak WALEDAC i FAKEAV.
Co zatem mogę zrobić, aby chronić swój komputer przed zagrożeniem przedstawionym przez botnet ZeuS?
Ważne jest, aby użytkownicy zachowali ostrożność podczas otwierania wiadomości e-mail i klikania adresów URL. Ponieważ sprawcy złośliwego oprogramowania ZBOT stale znajdują nowe sposoby atakowania użytkowników, zaleca się stosowanie bezpiecznych praktyk komputerowych.
Bądź ostrożny wobec stron phishingowych, które udają legalne witryny, ponieważ są one zaprojektowane głównie w celu oszukania nieświadomych użytkowników, aby przekazali swoje dane osobowe. Klikanie łączy w wiadomościach e-mail pochodzących od nieznanych nadawców to jeden z najprostszych sposobów, aby paść ofiarą ataków ZBOT.
Warianty TSPY_ZBOT są obecnie obsługiwane przez Trend Micro GeneriClean, funkcję dostępną w większości produktów Trend Micro. Aby ją uruchomić, użytkownicy muszą ręcznie przeskanować swoje systemy.
Rozwiązania obsługiwane przez Trend Micro™ Smart Protection Network™ blokują spam wykorzystywany przez ten botnet do infekowania użytkowników za pośrednictwem usługi reputacji poczty elektronicznej. Mogą wykrywać i zapobiegać wykonywaniu złośliwych plików za pośrednictwem usługi reputacji plików. Chroni również użytkowników przed wariantami ZBOT, blokując dostęp do złośliwych witryn za pośrednictwem usługi Web reputation service, a także przed próbami typu phone-home, w których zainfekowany komputer próbuje przesłać skradzione dane lub pobrać dodatkowe złośliwe oprogramowanie z serwerów command-and-control (C&C).
Użytkownicy produktów firmy innej niż Trend Micro mogą również sprawdzić swoje systemy za pomocą HouseCall, bezpłatnego narzędzia, które identyfikuje i usuwa wszystkie rodzaje wirusów, trojanów, robaków, niechcianych wtyczek do przeglądarek i innego złośliwego oprogramowania z zainfekowanych systemów. Mogą również użyć dodatku Web Protection Add-On, aby proaktywnie chronić swoje komputery przed zagrożeniami internetowymi i działaniami związanymi z botami. RUBotted można wykorzystać do sprawdzenia, czy ich komputery są częścią sieci botów.
Niektóre z naszych heurystycznych wykrywaczy dla tego zagrożenia to MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 i MAL_ZBOT-7.
From the Field: Expert Insights
„Niedawny atak botnetu Kneber jest kolejnym przykładem wykorzystania trojanów ZeuS (lub plików ZBOT). Firma Trend Micro pisała o tym na swoich blogach już w 2007 roku. Jeśli chodzi o nas, nie jesteśmy nawet zaskoczeni.”
-Jamz Yaneza o niedawnym ataku Kneber i szumie medialnym wokół tej sprawy
„Trudno jest wyprzedzić go za pomocą programu antywirusowego, ponieważ binaria ZeuS (ZBOT) nieustannie zmieniają się kilka razy dziennie, aby uniknąć wykrycia.”
-Paul Ferguson o ataku ZeuS we wrześniu 2009 r., w którym wykorzystano wiadomości spamowe rzekomo pochodzące z Internal Revenue Service (IRS)
.