Nowy niebezpieczny trojan bankowy

To wersja testowa kolejnego wydania najniebezpieczniejszego do tej pory trojana Zeus.

Zeus był jednym z pierwszych wielozadaniowych koni trojańskich używanych na początku do wykradania danych. Jego pierwszą wersję odkryto w czerwcu 200. roku po włamaniu i wykradzeniu danych z Departamentu Transportu USA. Rozpowszechnił się w marcu 2009, korzystając głównie z luk w przeglądarce Internet Explorer, poprzez e-maile i phishing. Znajdował się także wśród innego złośliwego kodu (malware) na zaatakowanych stronach internetowych.

W czerwcu 200. r. firma bezpieczeństwa Prevx wykryła przejęcie 74 tys. kont szybkiego transferu danych FTP z firm takich jak Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon i BusinessWeek. 28 października 2009 na konta różnych użytkowników Facebooka przesłano 1,5 mln phishingowych wiadomości w celu wykradzenia danych. W listopadzie 2009 poprzez sieć Verizon w USA wysłano już 9 mln takich e-maili; aresztowano też brytyjskie małżeństwo, które używało Zeusa do wykradania informacji personalnych i kont bankowych.

W latach 2009-201. na Zeusie oparte były największe botnety m.in. Mariposa, liczące 12-14 mln komputerów na całym świecie. W październiku 2010 r. wielka akcja FBI i policji europejskich m.in. holenderskiej, Scotland Yardu, policji ukraińskiej, estońskiej i rosyjskiej pozwoliła na rozbicie dwóch botnetów, które operując przy użyciu Zeusa zagarnęły 90 mln USD. Aresztowano 90 osób na całym świecie. Ostatnia, trzecia wersja Zeusa, ujawniona w 2011 roku, instalowała się na smartfonach i telefonach komórkowych i współpracując z trojanem ZitMo, umożliwiała cyberkryminalistom kontrolę nad przelewami z telefonu komórkowego oraz całkowite przejęcie kont online.

Na początku stycznia br. FBI podjęło zmasowaną akcję przeciwko twórcom konia trojańskiego Gameover, który masowo pojawił się w e-mailach spamowych i phishingowych w USA. Trojan ten został określony jako niebezpieczny bankowy koń trojański „o obudowie i funkcjach bardzo podobnych do Zeusa”.

Jak powiedział Computerworld Don Jackson, główny badacz w pionie bezpieczeństwa w Dell SecureWorks, Gameover posiada wszystkie cechy ostatnich wersji pakietu kodów Zeusa. Zajmujący się od lat badaniem Zeusa Jackson odkrył, że Gameover został „wykonany specjalnie na zamówienie”. przez twórców Zeusa.

Po ujawnieniu kodu Zeusa w 201. roku na forach hakerskich pojawiły się bowiem nowe trojany budowane na jego kodzie jak SpyEye czy rosyjski Ice IX i autorzy Zeusa musieli zadbać o to, aby nie wypaść z rynku - uważa Jackson.

Twórcy Zeusa wprowadzili w Gameover takie funkcje jak możliwość kontroli, uaktualniania i wprowadzania nowych funkcjonalności do konia trojańskiego przez serwery kontrolne (C&C) korzystające z sieci wymiany plików Peer-to-peer. Gameover może zostać przełączony w taki tryb automatycznie, bądź ręcznie przez kontrolujących go cyberprzestępców, jeśli zwykłe serwery kontrolne zostaną namierzone i wyłączone przez policję.

Gameover posiada też funkcje maskowania i wsparcie dla różnych metod infekcji komputerów, umożliwiając cyberprzestępcom dostęp do kont bankowych chronionych kilkoma typami identyfikacji (np. nie tylko hasłem stałym, ale i jednorazowym). Może też, podobnie jak ostatnia wersja Zeusa, współpracować z innymi trojanami oraz infekować smartfony.

Nową i do tej pory niespotykaną w tego typu trojanach bankowych funkcją jest możliwość wyprowadzania w dowolnym momencie ataku DDoS przeciwko wskazanej instytucji. Potwierdza to FBI, wskazując, iż chodzi o spowodowanie „jak największego zamieszania”. w banku. Atak taki jest po prostu dywersją, mającą utrudnić określenie rozmiarów włamania i powtórne zabezpieczenie systemu bankowego.

Jak pisze Computerworld, stwierdzenia Jacksona oznaczają, iż w 201. roku nastąpią intensywne ataki na instytucje bankowe i finansowe zorganizowane przez największe grupy cyberprzestępcze. Według FBI i ekspertów bezpieczeństwa, grupy te, to dawne rosyjskie mafie działające głównie z Rosji i Ukrainy. Dysponują one wielkimi środkami finansowymi i dobrą orientacją w najnowszych technikach teleinformatycznych. Działania ich powodują największe straty na rynku bankowości online; są one odpowiedzialne nawet za 75-80 proc. wszystkich kradzieży i włamań na konta bankowe. Kryminalistów tych nie interesują dane - włamują się wyłącznie w celu uzyskania dostępu do kont bankowych.

FBI stwierdza, że pranie skradzionych pieniędzy często następuje za pośrednictwem podstawionych osób, które kupują biżuterię i luksusowe zegarki w sklepach Rosji i zachodniej Europy. Później są sprzedawane legalnie w Rosji, na Ukrainie, prawdopodobnie w Europie Środkowej i Chinach.

ZOBACZ: Zabezpiecz swój komputer przed niespodziewanymi atakami!