Trusteer о новых усовершенствованиях ZeuS

По свидетельству Trusteer, авторы грозного «Зевса» в очередной раз повысили его жизнестойкость и конкурентоспособность, научив свое детище работать более целенаправленно и скрытно.

В версии ZeuS 2.1, как ее окрестили в компании, механизмы сопоставления URL, модификации сетевых ресурсов и сбора пользовательских данных работают на основе PCRE библиотеки. Это обеспечивает дифференцированный подход к выбору мишеней, площадок для инъекций, а также информации, интересующей злоумышленников.

До сих пор ZeuS использовал примитивные регулярные выражения, которые не позволяли работать с более мелкими объектами. Теперь, например, его можно нацелить на адреса, которые начинаются с https или содержат определенные цифры и ключевые слова. Сетевые инъекции отныне осуществляются с хирургической точностью и только на заданных страницах сайта, что позволяет злоумышленникам увеличить число мишеней в рамках одной кибератаки. Процесс отбора и передачи информации также стал эффективнее: если раньше зловред отправлял на C&C целые страницы, то теперь он умеет отыскивать и копировать лишь, к примеру, раздел о состоянии счета.

Способ подключения ZeuS 2.1 к центрам управления тоже претерпел принципиальные изменения. Поиск головного сервера производится по списку из сотен сгенерированных доменов, который обновляется каждый день. (Об этом в неявной форме уже упоминалось в нашем блоге.) В довершение ко всему, новая версия снабжена открытым 1024-битовым ключом RSA – видимо, в обеспечение отправки данных шифротекстом и авторизации C&C на клиентах ZeuS.

По последним данным, ZeuS новой модификации заразил свыше 20,5 тыс. ПК, размещенных на территории 153 стран. Треть из них находятся в США. Исследователи из вьетнамской компании Bkis, наблюдающие распространение этой угрозы, отмечают, что численность нового ботнета ZeuS быстро увеличивается.