Zbot собирает налоги

Последние три недели наблюдается мощная спам-кампания, нацеленная на распространение троянцев семейства Zbot. По имеющимся оценкам, эти вредоносные сообщения, написанные от имени Налоговой службы США, составляют около 10% от общего объема спама в интернете.

Мишенью злоумышленников являются американцы-держатели зарубежных счетов, которые должны подать налоговую декларацию до 23 сентября. Поддельные письма снабжены заголовком «Notice of Underreported Income» («Вы занизили сумму доходов») и ссылкой, реже вложением — якобы для просмотра получателем поправок к налоговой декларации. На самом деле вместо документа указанный файл содержит один из вариантов Trojan-PSW.Win32.Zbot — программы, специализирующейся на краже конфиденциальной информации, которая позволяет ее операторам выкачивать с чужих счетов более миллиона долларов в сутки.

По данным компании M86 Security, вредоносные послания рассылаются с ботнета Pushdo, а страницы с «декларацией» размещены на более чем 300 доменах, многие из которых привязаны к зоне .eu. Бинарный код троянца меняется несколько раз в сутки, что затрудняет его обнаружение. Если в первый день атаки Zbot идентифицировала половина антивирусов, то через пару дней он детектировался как угроза только шестью из них. Тот же результат наблюдался спустя еще 10 дней.

По оценке компании Damballa, Zbot лидирует в США среди прочих бот-агентов по количеству заражений (3,6 миллиона, или 1% компьютерного парка). Эксперты Trusteer, изучив [PDF 390Кб]
его в «диком» виде, заключили, что пользовательские антивирусы детектируют его лишь в 23% случаев. А RSA в конце лета обнаружила, что троянец начал использовать IM-каналы для ускоренной доставки украденных реквизитов своим повелителям.