Меню контента Закрыть

Публикации

Мобильный ZeuS вернулся

Публикации

мин. на чтение

Авторы

21 февраля польский консультант по информационной безопасности и блогер Piotr Konieczny написал (по-польски) о новой волне атак с использованием троянской программы ZeuS. Жертвами злоумышленников стали польские пользователи — клиенты банка ING.

Для атаки были применены образцы троянца, предназначенные для различных платформ: Trojan-Spy.Win32.Zbot.bbmf для Windows, Trojan-Spy.SymbOS.Zbot.b для Symbian и Trojan-Spy.WinCE.Zbot.a для Windows Mobile. На этот раз ZeuS для мобильных устройств, известный как ZeuS in the Mobile (ZitMo), не обошел стороной пользователей смартфонов на базе Windows Mobile.

Эта атака очень похожа на первую атаку ZitMo в конце сентября 2010 года. После заражения компьютера под управлением Windows троянец Zbot точно так же предлагал пользователю ввести название модели смартфона и номер телефона для «обновления сертификата». После этого пользователь зараженного компьютера получал SMS-сообщение со ссылкой на «обновленный сертификат» (на самом деле — на версию троянца ZeuS для соответствующей мобильной платформы). В случае загрузки и установки вредоносного файла все входящие сообщения (в том числе содержащие код mTAN, используемый для аутентификации в системах онлайн-банкинга), незаметно для пользователя пересылались на прописанный в теле троянца мобильный номер.

Новая версия ZeuS для устройств на базе Symbian (детектируемая как Trojan-Spy.SymbOS.Zbot.b) аналогична предыдущей — команды и функции у обеих одинаковые. И у версии ZeuS для Windows Mobile (детектируемой как Trojan-Spy.WinCE.Zbot.a) такие же функции и даже команды. Например, после успешного заражения мобильного устройства обе версии отсылают сообщение на один и тот же (британский) мобильный номер:

40282
Trojan-Spy.WinCE.Zbot.a

40284

40283
Trojan-Spy.SymbOS.Zbot.b

Первая атака с использованием мобильной версии ZeuS показала, что киберпреступники продолжают расширять сферу своей деятельности, осваивая новые платформы и направления (в данном случае, перехват кодов mTAN). Нынешняя атака говорит о том, что злоумышленники не намерены сидеть сложа руки. И то, что их мишенью стала еще одна платформа, лишь подтверждает это.

Мы продолжаем изучать ситуацию и будем держать вас в курсе событий.

Авторы

Мобильный ZeuS вернулся

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    Техники, тактики и процедуры атак на промышленные компании

    В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

    Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

    В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

    Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

    В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2023.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике