Архив новостей

Trusteer о новых усовершенствованиях ZeuS

По свидетельству Trusteer, авторы грозного «Зевса» в очередной раз повысили его жизнестойкость и конкурентоспособность, научив свое детище работать более целенаправленно и скрытно.

В версии ZeuS 2.1, как ее окрестили в компании, механизмы сопоставления URL, модификации сетевых ресурсов и сбора пользовательских данных работают на основе PCRE библиотеки. Это обеспечивает дифференцированный подход к выбору мишеней, площадок для инъекций, а также информации, интересующей злоумышленников.

До сих пор ZeuS использовал примитивные регулярные выражения, которые не позволяли работать с более мелкими объектами. Теперь, например, его можно нацелить на адреса, которые начинаются с https или содержат определенные цифры и ключевые слова. Сетевые инъекции отныне осуществляются с хирургической точностью и только на заданных страницах сайта, что позволяет злоумышленникам увеличить число мишеней в рамках одной кибератаки. Процесс отбора и передачи информации также стал эффективнее: если раньше зловред отправлял на C&C целые страницы, то теперь он умеет отыскивать и копировать лишь, к примеру, раздел о состоянии счета.

Способ подключения ZeuS 2.1 к центрам управления тоже претерпел принципиальные изменения. Поиск головного сервера производится по списку из сотен сгенерированных доменов, который обновляется каждый день. (Об этом в неявной форме уже упоминалось в нашем блоге.) В довершение ко всему, новая версия снабжена открытым 1024-битовым ключом RSA – видимо, в обеспечение отправки данных шифротекстом и авторизации C&C на клиентах ZeuS.

По последним данным, ZeuS новой модификации заразил свыше 20,5 тыс. ПК, размещенных на территории 153 стран. Треть из них находятся в США. Исследователи из вьетнамской компании Bkis, наблюдающие распространение этой угрозы, отмечают, что численность нового ботнета ZeuS быстро увеличивается.

Trusteer о новых усовершенствованиях ZeuS

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике