Antecedentele atacului
TSPY_ZBOT este detecția Trend Micro pentru malware-ul legat de ceea ce industria numește „ZeuS botnets”. ZeuS botnet, de fapt, este un termen prescurtat pentru rețelele de computere compromise care utilizează troienii ZeuS/ZBOT în operațiunile lor legate de botnet. Variantele TSPY_ZBOT ajung, de obicei, prin intermediul spam-ului care pare să provină din surse legitime, cerând destinatarilor să facă clic pe un link. Respectivul link duce la descărcarea lui TSPY_ZBOT, care se instalează în tăcere în sisteme pentru a aștepta ca utilizatorii să își introducă acreditările pe anumite site-uri.
Din 2007, Trend Micro monitorizează familia ZBOT. Numărul de detecții ZBOT a crescut substanțial de-a lungul anilor, după cum se poate observa în următoarele intrări pe blog:
- Cu ochii pe EYEBOT și un posibil război al roboților
- Varianta ZBOT falsifică NIC-ul pentru a trimite spam altor agenții guvernamentale
- Noul binar ZBOT/ZeuS vine cu un mesaj ascuns
- Phisherii vizează utilizatorii AOL IM
- SASFIS se estompează în fundal
- Phishing sub pretextul îmbunătățirii securității
- ZBOT țintește din nou Facebook
- Încă un ZBOT Spam Run
- Bogus „Balance Checker” Tool Carries Malware
- Are You Being (Facebook) Phishing?
.
Citește mai multe intrări legate de ZBOT/ZeuS aici.
Până în prezent, Trend Micro a înregistrat peste 2.000 de detecții ZBOT, iar numărul acestora continuă să crească.
Care este diferența dintre ZeuS, ZBOT și Kneber?
Toate aceste denumiri se referă la botnetul ZeuS, care este un botnet crimeware stabilit despre care se spune că este responsabil pentru alte botneturi cunoscute în sălbăticie. Prima utilizare notabilă a troianului ZeuS a fost prin intermediul faimoasei Rock Phish Gang, care este cunoscută pentru kiturile de pagini de phishing ușor de utilizat. Termenul „ZBOT” este denumirea de detectare a Trend Micro pentru toate programele malware implicate în masiva rețea botnet. Între timp, botnetul Kneber este un termen recent inventat care aparține unui compromis specific ZBOT/ZeuS.
Cum ajunge această amenințare în sistemele utilizatorilor?
Amenințarea poate sosi sub forma unui mesaj de tip spam sau poate fi descărcată din neștiință de pe site-uri web compromise. S-a constatat că majoritatea detecțiilor ZBOT vizează site-uri web legate de bănci. Cu toate acestea, recentele rulări de spam au arătat o diversitate din ce în ce mai mare a țintelor. Lista variantelor ZBOT demne de luat în seamă include TROJ_ZBOT.SVR, care a fost folosit pentru a trimite mesaje spam agențiilor guvernamentale; TSPY_ZBOT.JF, care a vizat utilizatorii AIM; și TSPY_ZBOT.CCB, care a vizat rețeaua de socializare Facebook.
Cum păcălește utilizatorii să dea click pe linkuri?
Mesajele spammate pretind, de obicei, că provin de la companii legitime și, mai recent, de la agenții guvernamentale. Variantele ZBOT au fost, de asemenea, găsite într-o serie de spam-uri care se bazează pe evenimente populare, cum ar fi moartea lui Michael Jackson.
Care este scopul principal al botnetului ZeuS?
Este conceput în principal pentru furtul de date sau pentru a fura informații despre conturi de pe diverse site-uri, cum ar fi cele de online banking, rețelele de socializare și site-urile de comerț electronic.
Cum face această amenințare bani pentru autorii săi?
Generează o listă de site-uri web legate de bănci sau instituții financiare de la care încearcă să fure informații bancare online sensibile, cum ar fi nume de utilizator și parole. Apoi, monitorizează activitățile de navigare pe internet ale utilizatorului (atât HTTP, cât și HTTPS) folosind titlurile ferestrelor browserului sau URL-urile din bara de adrese ca declanșatori ai atacului său. Această rutină riscă să expună informațiile din contul utilizatorului, ceea ce poate duce apoi la utilizarea neautorizată a datelor furate.
Cine este în pericol?
Utilizatorii cu sisteme infectate de ZBOT care se conectează la oricare dintre site-urile vizate riscă să piardă informații personale în fața infractorilor cibernetici.
Ce face malware-ul cu informațiile pe care le adună?
Întoarce informațiile adunate prin HTTP POST către URL-uri de la distanță. Infractorii cibernetici pot folosi apoi aceste informații pentru activitățile lor malițioase. Ele pot fi vândute pe piețele subterane.
Ce face ca această amenințare să fie persistentă?
În plus față de tacticile sale de inginerie socială și tehnicile de spam în continuă evoluție, ZBOT îngreunează detectarea datorită capacităților sale de rootkit. După ce se instalează pe un sistem afectat, ZBOT creează un folder cu atributele setate la System și Hidden pentru a împiedica utilizatorii să îi descopere și să îi elimine componentele. În plus, ZBOT este capabil să dezactiveze Windows Firewall și să se injecteze în procese pentru a deveni rezident în memorie. De asemenea, se termină singur dacă anumite procese firewall cunoscute sunt găsite în sistem. Variantele ZBOT figurează, de asemenea, în descărcări în lanț care implică alte familii de malware, cum ar fi WALEDAC și FAKEAV.
Atunci, ce pot face pentru a-mi proteja calculatorul de amenințarea prezentată de botnetul ZeuS?
Este important ca utilizatorii să dea dovadă de prudență atunci când deschid mesaje de e-mail și când dau click pe URL-uri. Deoarece autorii malware-ului ZBOT găsesc în mod constant noi modalități de a ataca utilizatorii, utilizatorii sunt sfătuiți să utilizeze practici informatice sigure.
Fiti atenți la paginile de phishing care pretind a fi site-uri web legitime, deoarece acestea sunt concepute în principal pentru a păcăli utilizatorii neștiutori să predea informații personale. Apăsarea linkurilor de pe e-mailurile care provin de la expeditori necunoscuți este una dintre cele mai ușoare modalități de a cădea pradă atacurilor ZBOT.
Variantele STPY_ZBOT sunt în prezent suportate de Trend Micro GeneriClean, o caracteristică prezentă în majoritatea produselor Trend Micro. Utilizatorii trebuie să își scaneze manual sistemele pentru a o declanșa.
Soluțiile suportate de Trend Micro™ Smart Protection Network™ blochează spam-ul folosit de acest botnet pentru a infecta utilizatorii prin intermediul serviciului de reputație a e-mailurilor. Poate detecta și preveni executarea fișierelor malițioase prin intermediul serviciului de reputație a fișierelor. De asemenea, protejează utilizatorii de variantele ZBOT prin blocarea accesului la site-uri malițioase prin intermediul serviciului de reputație Web, precum și de încercările de tip phone-home prin care un computer infectat încearcă să încarce date furate sau să descarce programe malware suplimentare de pe serverele de comandă și control (C&C).
Utilizatorii de produse non-Trend Micro pot, de asemenea, să își verifice sistemele folosind HouseCall, un instrument gratuit care identifică și elimină toate tipurile de viruși, troieni, viermi, plug-in-uri nedorite pentru browser și alte programe malware din sistemele afectate. De asemenea, aceștia pot utiliza Web Protection Add-On pentru a-și proteja în mod proactiv calculatoarele împotriva amenințărilor web și a activităților legate de roboți. RUBotted poate fi folosit pentru a afla dacă mașinile lor fac parte dintr-o rețea de roboți.
Câteva dintre detecțiile noastre euristice pentru această amenințare sunt MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 și MAL_ZBOT-7.
De pe teren: Expert Insights
„Recentul atac al botnetului Kneber nu este decât o altă apariție a modului în care sunt utilizate fișierele troienilor ZeuS (sau ZBOT). Trend Micro a publicat intrări pe blog despre acest lucru încă din 2007. În ceea ce ne privește, nici măcar nu suntem surprinși.”
-Jamz Yaneza despre recentul atac Kneber și despre agitația mediatică din jurul problemei
„Este dificil să rămâi în frunte prin intermediul antivirusului, deoarece binarele ZeuS (ZBOT) se schimbă continuu de câteva ori pe zi pentru a se sustrage detectării.”
-Paul Ferguson cu privire la un atac ZeuS din septembrie 2009 care a folosit mesaje spam pretinse de la Internal Revenue Service (IRS)
.