Background of the Attack
TSPY_ZBOT é a Microdetecção de Tendência para malware relacionado ao que a indústria chama de “botnets ZeuS”. ZeuS botnet, na verdade, é um termo curto para redes de computadores comprometidos que utilizam Trojans ZeuS/ZBOT em suas operações relacionadas a botnets. As variantes TSPY_ZBOT normalmente chegam através de spam que parecem vir de fontes legítimas, pedindo aos destinatários para clicar em um link. O referido link leva ao download do TSPY_ZBOT, que silenciosamente se senta em sistemas para esperar que os usuários digitem suas credenciais em sites específicos.
Desde 2007, a Trend Micro vem monitorando a família ZBOT. O número de detecções ZBOT tem aumentado substancialmente ao longo dos anos, como pode ser visto nas seguintes entradas do blog:
- Keeping an Eye on the EYEBOT and a Possible Bot War
- ZBOT Variant Spoofs the NIC to Spam Other Government Agencies
- New ZBOT/ZeuS Binary Comes with a Hidden Message
- Phishers Target AOL IM Users
- SASFIS Fizzles in the Background
- Phishing in the Guise of Enhancing Security
- ZBOT Targets Facebook Again
- Anoutro ZBOT Spam Run
- Ferramenta Falsa “Balance Checker” Carrega Malware
- A Are You Being (Facebook) Phished?
Lê mais entradas relacionadas a ZBOT/ZeuS aqui.
Até à data, a Trend Micro já viu mais de 2.000 detecções de ZBOT e os números continuam a aumentar.
Qual é a diferença entre ZeuS, ZBOT e Kneber?
Todos estes nomes estão relacionados com o botnet ZeuS, que é um botnet crimeware estabelecido, dito ser responsável por outras botnets conhecidas na natureza. O primeiro uso notável do ZeuS Trojan foi através do conhecido Rock Phish Gang, que é conhecido por seus kits de páginas de phishing fáceis de usar. O termo “ZBOT” é o nome de detecção da Trend Micro para todos os malwares envolvidos na enorme rede de botnets. O botnet Kneber, entretanto, é um termo recentemente cunhado pertencente a um compromisso ZBOT/ZeuS específico.
Como essa ameaça entra nos sistemas dos usuários?
A ameaça pode chegar como uma mensagem de spam ou pode ser baixada inconscientemente de sites comprometidos. A maioria das detecções de ZBOT foram encontradas em sites relacionados a bancos. No entanto, as recentes execuções de spam têm mostrado uma diversidade crescente em alvos. A lista de variantes ZBOT notáveis incluem o TROJ_ZBOT.SVR, que foi usado para spam agências governamentais; TSPY_ZBOT.JF, que teve como alvo os usuários AIM; e TSPY_ZBOT.CCB, que teve como alvo as redes sociais, Facebook.
Como é que isso engana os utilizadores a clicar nos links?
Mensagens spam tipicamente enviadas por empresas legítimas e, mais recentemente, por agências governamentais. Variantes do ZBOT também foram encontradas em uma execução de spam que se baseia em eventos populares como a morte de Michael Jackson.
Qual é o objetivo principal do botnet ZeuS?
Foi projetado principalmente para roubar dados ou para roubar informações de contas de vários sites como bancos online, redes sociais e sites de comércio eletrônico.
Como essa ameaça faz dinheiro para seus perpetradores?
Gera uma lista de sites relacionados a bancos ou instituições financeiras das quais tenta roubar informações bancárias sensíveis, como nomes de usuários e senhas. Ele então monitora as atividades de navegação na Web do usuário (tanto HTTP como HTTPS) usando os títulos da janela do navegador ou URLs da barra de endereços como gatilhos para o seu ataque. Essa rotina corre o risco de expor as informações da conta do usuário, o que pode levar ao uso não autorizado dos dados roubados.
Quem está em risco?
Os usuários com sistemas infectados pelo ZBOT que fazem login em qualquer um dos sites alvo correm o risco de perder informações pessoais para cibercriminosos.
O que o malware faz com as informações coletadas?
Enviam as informações coletadas via HTTP POST para URLs remotas. Os criminosos cibernéticos podem então usar esta informação para as suas actividades maliciosas. Eles podem ser vendidos em mercados subterrâneos.
O que torna esta ameaça persistente?
Além de suas táticas de engenharia social e técnicas de spam em constante evolução, a ZBOT torna a detecção difícil por causa de suas capacidades de rootkit. Ao se instalar em um sistema afetado, o ZBOT cria uma pasta com atributos definidos para Sistema e Escondida para evitar que os usuários descubram e removam seus componentes. Além disso, a ZBOT é capaz de desativar o Firewall do Windows e de se injetar em processos para se tornar residente na memória. Ele também termina se determinados processos conhecidos de firewall forem encontrados no sistema. As variantes ZBOT também figuram em downloads daisy-chain envolvendo outras famílias de malware como WALEDAC e FAKEAV.
Então o que posso fazer para proteger meu computador da ameaça apresentada pela botnet ZeuS?
É importante que os usuários tenham cuidado ao abrir mensagens de e-mail e ao clicar em URLs. Como os perpetradores do malware ZBOT estão constantemente encontrando novas maneiras de atacar os usuários, os usuários são aconselhados a empregar práticas computacionais seguras.
Tenha cuidado com as páginas de phishing que se dizem ser sites legítimos, pois estas são projetadas principalmente para enganar os usuários involuntários a entregarem informações pessoais. Clicar em links em e-mails que vêm de remetentes desconhecidos é uma das formas mais fáceis de cair em ataques ZBOT.
TSPY_ZBOT variantes são atualmente suportadas pela Trend Micro GeneriClean, uma característica encontrada na maioria dos produtos Trend Micro. Os usuários precisam varrer manualmente seus sistemas para acionar isto.
Soluções suportadas pela Trend Micro™ Smart Protection Network™ bloqueiam o spam usado por esta botnet para infectar os usuários através do serviço de reputação de e-mail. Ele pode detectar e prevenir a execução de arquivos maliciosos através do serviço de reputação de arquivos. Também protege os usuários das variantes ZBOT, bloqueando o acesso a sites maliciosos através do serviço de reputação da Web, bem como de tentativas de ligações para casa onde um computador infectado tenta fazer upload de dados roubados ou baixar malware adicional dos servidores de comando e controle (C&C).
Non-Trend Micro os usuários também podem verificar seus sistemas usando o HouseCall, uma ferramenta gratuita que identifica e remove todos os tipos de vírus, Trojans, worms, plug-ins indesejados de navegadores e outros malwares dos sistemas afetados. Eles também podem usar o Web Protection Add-On para proteger proactivamente os seus computadores contra ameaças Web e actividades relacionadas com o bot. RUBotted pode ser usado para descobrir se suas máquinas fazem parte de uma rede de bot.
Algumas de nossas detecções heurísticas para esta ameaça são MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6, e MAL_ZBOT-7.
De Campo: Expert Insights
“O recente ataque de botnet Kneber é apenas outra ocorrência de como os arquivos ZeuS Trojans (ou ZBOT) estão sendo usados. A Trend Micro tem publicado entradas no blog sobre isso já em 2007. No que nos diz respeito, não estamos nem mesmo surpresos”
-Jamz Yaneza sobre o recente ataque de Kneber e a propaganda de mídia em torno do assunto
“É difícil ficar à frente dele via antivírus porque os binários ZeuS (ZBOT) mudam continuamente algumas vezes ao dia para escapar da detecção.”
-Paul Ferguson num ataque ZeuS em Setembro de 2009 que usou mensagens de spam supostamente do IRS (Internal Revenue Service)