Pojawił się 64-bitowy ZeuS! Zobaczcie, co potrafi

Branża mobilna pracuje nad 64-bitowymi procesorami, ale cyberprzestępcy także podążają z duchem czasu. Mamy jeden z najgroźniejszych wirusów w nowej odsłonie.

Cyberprzestępcy, podążając swoim zwyczajem za użytkownikami, stworzyli ZeuS-a zdolnego do infekowania 64-bitowych aplikacji. Dla tych, którym jego pojawienie się w sieci uszło uwadze, przypominamy, że jest to obecnie jeden z najbardziej zaawansowanych przedstawicieli złośliwego oprogramowania związanego z bankowością elektroniczną. Wiele z jego funkcji wyznacza obecnie standardy przy tworzeniu innych zagrożeń bankowych.

Specjaliści do spraw bezpieczeństwa mieli naturalnie świadomość, że 64-bitowa wersja ZeuS-a się pojawi, jednak nie przypuszczali, że nastąpi to tak szybko. Chociażby dlatego, że taka wersja nie jest cyberprzestępcom potrzebna.

Głównym celem ZeuSa jest przechwytywanie danych przepływających przez przeglądarki internetowe i modyfikowanie ich w taki sposób, aby atakujący mógł ukraść informacje związane z bankowością online, przechwytywać transakcje lub zacierać swoje ślady. Dzisiaj użytkownicy nadal wykorzystują przede wszystkim 32-bitowe przeglądarki - nawet na 64-bitowych systemach operacyjnych. A zatem 32-bitowe wersje ZeuSa wystarczyły, aby złodzieje byli zadowoleni ze swoich zysków. Doświadczenie pokazuje, że cyberprzestępcy nie są skorzy do inwestowania czasu i pieniędzy w technologie, które nie przynoszą natychmiastowego zysku. Powstaje zatem pytanie, w jakim celu stworzono 64-bitowego ZeuS-a.
Analiza przeprowadzona przez ekspertów z Kaspersky Lab wykazała, że nowy ZeuS działa tak samo jak jego 32-bitowy odpowiednik. Dodatkowo, badania ujawniły, że podczas tworzenia tej wersji cyberprzestępcy nie ustrzegli się błędów - niektóre atakowane 64-bitowe procesy przestają funkcjonować po tym, jak nowy ZeuS zmodyfikuje je swoim szkodliwym kodem. Nie można powiedzieć także, żeby użytkownicy masowo zaczęli się przesiadać na 64-bitowe wersje przeglądarek internetowych. A jednak jest pewien powód pojawienia się nowego ZeuS-a.

Szczegółowe badania wykazały, że do komunikacji z cyberprzestępcami wykorzystuje on anonimową sieć Tor, która uniemożliwia analizowanie ruchu sieciowego i w konsekwencji zapewnia użytkownikom prawie anonimowy dostęp do zasobów internetu. Kod szkodnika zawiera plik wykonywalny tor.exe, który uruchamiany jest w sposób pośredni - poprzez podszycie tej aplikacji pod jeden z procesów systemowych. W ten sposób użytkownik nie zauważy obecności Tora w swoim systemie - nawet na liście uruchomionych procesów. Wynika z tego, że nowa wersja ZeuSa jest w stanie całkowicie samodzielnie zapewnić sobie anonimową komunikację z kontrolującymi ją cyberprzestępcami.

Źródło: Kaspersky Lab