Bakgrund för attacken
TSPY_ZBOT är Trend Micros upptäckt av skadlig kod som är relaterad till det som branschen kallar ”ZeuS-botnät”. ZeuS botnet är i själva verket en förkortad term för nätverk av infekterade datorer som använder ZeuS/ZBOT-trojaner i sin botnetrelaterade verksamhet. TSPY_ZBOT-varianter kommer vanligtvis via skräppost som ser ut att komma från legitima källor och ber mottagarna att klicka på en länk. Länken leder till nedladdning av TSPY_ZBOT, som tyst sitter i system och väntar på att användarna ska ange sina inloggningsuppgifter till vissa webbplatser.
Sedan 2007 har Trend Micro övervakat ZBOT-familjen. Antalet upptäckter av ZBOT har ökat avsevärt under åren, vilket framgår av följande blogginlägg:
- Håller ett öga på EYEBOT och ett möjligt botkrig
- ZBOT-varianten spottar NIC för att skicka skräppost till andra statliga myndigheter
- Nytt binärt ZBOT/ZeuS-bokföringsmaterial med ett dolt budskap
- Phishers Target AOL IM Users
- SASFIS försvinner i bakgrunden
- Phishing i skenet av ökad säkerhet
- ZBOT riktar sig mot Facebook igen
- En annan ZBOT-spamkörning
- Bogus ”Balance Checker”-verktyg bär på skadlig kod
- Är du utsatt för Phishing (Facebook)?
Läs fler ZBOT/ZeuS-relaterade inlägg här.
Till dags dato har Trend Micro sett över 2 000 ZBOT-detektioner och antalet fortsätter att öka.
Vad är skillnaden mellan ZeuS, ZBOT och Kneber?
Dessa namn avser alla ZeuS-botnätet, som är ett etablerat crimeware-botnät som sägs vara ansvarigt för andra kända botnät i naturen. Den tidigaste anmärkningsvärda användningen av ZeuS-trojanaren skedde via det ökända Rock Phish Gang, som är känt för sina lättanvända phishing-sidekit. Termen ”ZBOT” är Trend Micros identifieringsnamn för all skadlig kod som ingår i det massiva botnätet. Kneber-botnätet är en nyligen myntad term som avser en specifik ZBOT/ZeuS-kompromiss.
Hur kommer hotet in i användarnas system?
Hotet kan komma in som ett spammat meddelande eller oavsiktligt laddas ner från komprometterade webbplatser. Majoriteten av upptäckterna av ZBOT har visat sig rikta sig mot bankrelaterade webbplatser. Nya skräppostförsändelser har dock visat på en ökande mångfald av måltavlor. Listan över anmärkningsvärda ZBOT-varianter omfattar TROJ_ZBOT.SVR, som användes för att skicka skräppost till statliga myndigheter, TSPY_ZBOT.JF, som riktade sig till AIM-användare, och TSPY_ZBOT.CCB, som riktade sig till den sociala nätverkssajten Facebook.
Hur luras användarna att klicka på länkar?
Spamade meddelanden utger sig vanligtvis för att komma från lagliga företag och på senare tid även från myndigheter. ZBOT-varianter har också hittats i skräppost som bygger på populära händelser som Michael Jacksons död.
Vad är det primära syftet med ZeuS-botnätet?
Det är i första hand utformat för datastöld eller för att stjäla kontouppgifter från olika webbplatser som nätbanker, sociala nätverk och e-handelssajter.
Hur tjänar det här hotet pengar åt förövarna?
Det genererar en lista över bankrelaterade webbplatser eller finansinstitut från vilka det försöker stjäla känslig information om nätbankverksamhet som användarnamn och lösenord. Den övervakar sedan användarens surfaktiviteter på webben (både HTTP och HTTPS) genom att använda webbläsarens fönstertitlar eller URL:er i adressfältet som utlösare för attacken. Denna rutin riskerar att exponera användarens kontoinformation, vilket sedan kan leda till obehörig användning av de stulna uppgifterna.
Vem är i riskzonen?
Användare med ZBOT-infekterade system som loggar in på någon av de målinriktade webbplatserna riskerar att förlora personlig information till cyberkriminella.
Vad gör den skadliga programvaran med informationen som den samlar in?
Den skickar den insamlade informationen via HTTP POST till fjärr-URL:er. Cyberkriminella kan sedan använda denna information för sina skadliga aktiviteter. De kan säljas på underjordiska marknader.
Vad gör det här hotet ihållande?
Förutom sin sociala ingenjörstaktik och ständigt utvecklande spammingteknik gör ZBOT det svårt att upptäcka på grund av sina rootkit-funktioner. När ZBOT installeras på ett drabbat system skapar den en mapp med attributen System och Hidden för att hindra användare från att upptäcka och ta bort dess komponenter. ZBOT kan dessutom inaktivera Windows Firewall och injicera sig själv i processer för att bli minnesresident. Den avslutar också sig själv om vissa kända brandväggsprocesser hittas i systemet. ZBOT-varianter förekommer också i daisy-chain-nedladdningar som involverar andra malware-familjer som WALEDAC och FAKEAV.
Så vad kan jag göra för att skydda min dator från hotet från ZeuS-botnätet?
Det är viktigt att användarna är försiktiga när de öppnar e-postmeddelanden och klickar på URL:er. Eftersom förövarna av ZBOT-malware ständigt hittar nya sätt att angripa användarna rekommenderas användare att använda säkra datormetoder.
Var försiktig med phishing-sidor som utger sig för att vara legitima webbplatser, eftersom dessa i första hand är utformade för att lura ovetande användare att lämna ifrån sig personlig information. Att klicka på länkar i e-postmeddelanden som kommer från okända avsändare är ett av de enklaste sätten att falla offer för ZBOT-attacker.
TSPY_ZBOT-varianter stöds för närvarande av Trend Micro GeneriClean, en funktion som finns i de flesta Trend Micro-produkter. Användare måste skanna sina system manuellt för att aktivera detta.
Lösningar som stöds av Trend Micro™ Smart Protection Network™ blockerar den skräppost som används av det här botnätet för att infektera användare via tjänsten för e-postreputation. Den kan upptäcka och förhindra exekvering av skadliga filer via filreputationstjänsten. Det skyddar också användare från ZBOT-varianter genom att blockera åtkomst till skadliga webbplatser via webbreputationstjänsten samt från försök till telefonhemtagning där en infekterad dator försöker ladda upp stulna data eller ladda ner ytterligare skadlig kod från kommando- och kontrollservrar (C&C).
Användare som inte använder en Trend Micro-produkt kan också kontrollera sina system med hjälp av HouseCall, ett kostnadsfritt verktyg som identifierar och tar bort alla typer av virus, trojaner, maskar, oönskade webbläsartilläggsprogram och annan skadlig kod från drabbade system. De kan också använda Web Protection Add-On för att proaktivt skydda sina datorer från webbhot och botrelaterade aktiviteter. RUBotted kan användas för att ta reda på om deras maskiner är en del av ett botnätverk.
Några av våra heuristiska upptäckter för detta hot är MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 och MAL_ZBOT-7.
Från fältet: Expertinsikter
”Den senaste attacken mot Kneber-botnätet är ytterligare ett exempel på hur ZeuS-trojaner (eller ZBOT-filer) används. Trend Micro har skrivit blogginlägg om detta så tidigt som 2007. Vad oss beträffar är vi inte ens förvånade.”
-Jamz Yaneza om den senaste Kneber-attacken och mediehysterin kring frågan
”Det är svårt att ligga steget före med hjälp av antivirus eftersom ZeuS (ZBOT)-binärfiler kontinuerligt förändras några gånger om dagen för att undkomma upptäckt.”
-Paul Ferguson om en ZeuS-attack i september 2009 som använde sig av skräppost som påstods komma från Internal Revenue Service (IRS)