Zeus powraca i kradnie na potęgę

30 tys. klientów e-banków, którym skradziono łącznie ponad 47 mln USD – oto efekty działania tylko jednego szkodnika, stworzonego z myślą o atakowaniu klientów e-banków.

Chodzi o najnowszy wariant osławionego Zeusa, czyli wyjątkowo pomysłowego konia trojańskiego (a właściwie - pakietu koni trojańskich), który od kilku miesięcy nęka Europejczyków.

Oczywiście sam Zeus nie jest nowością - złośliwy program o tej nazwie jest aktywny w sieci od dobrych kilku lat. Problem w tym, że w tym czasie jego twórcy nie zasypiali gruszek w popiele i Zeus z prostego konia trojańskiego zdolnego wyewoluował do jednego z najbardziej pomysłowych i skutecznych 'kombajnów do okradania internautów'.

Jego najnowszy wariant - o nazwie Eurograbber - szczegółowo opisano w raporcie przygotowanym przez firmy Check Point Software oraz Versafe. Dowiadujemy się z niego, że nowy Zeus jest wyjątkowo skuteczny i niebezpieczny, choćby dlatego, że bez większych problemów potrafi poradzić sobie z dwustopniową autoryzacją transakcji internetowych - tzn. potrafi skutecznie wykradać pieniądze z kont, w których jako dodatkowe zabezpieczenie (oprócz głównego hasła) wykorzystywane są hasła jednorazowe dostarczane SMS-em. Ta funkcja była znana już wczęśniej - ale w nowym wariancie została dopracowana i dostosowana do 'współpracy' z bankami popularnymi na Starym Kontynencie.

Eurograbber działa wielostopniowo. Pierwszym etapem jest zainfekowanie komputera (oczywiście z Windows) - najczęściej spotykaną metodą jest podsunięcie użytkownikowi odnośnika do strony WWW zawierającej odpowiedniego exploita. Jej wyświetlenie w przeglądarce spowoduje zainstalowanie w systemie podstawowego komponentu Zeusa vel. Eurograbbera - czyli właściwego trojana.

Później Zeus czeka, aż użytkownik otworzy stronę WWW 'obsługiwanego' przez trojan banku - gdy to nastąpi, wyświetlany jest komunikat, z którego wynika, że bank zaleca dodatkowe zabezpieczenie smartfonu klienta. Zabezpieczenie ma polegać na zainstalowaniu dodatkowej aplikacji (dostępnej dla Androida lub BlackBerry OS) - w tym celu użytkownik proszony jest o podanie numeru telefonu, na który po chwili zostaje wysłany SMS z instrukcja pobrania i zainstalowania owej appki (ten komponent specjaliści nazywają ZITMO - Zeus in the mobile).

W ten sposób osoba zarządzająca trojanem ma wszystko, czego potrzebuje do okradzenia konta (dzięki trojanowi w komputerze poznaje login i hasła, zaś dzięki aplikacji w telefonie - hasło jednorazowe). Co więcej - Zeus potrafi również wyświetlać użytkownikowi sfałszowane powiadomienia o transakcjach, co sprawia, że ten przez dłuższy czas może nie zorientować się, że z jego konta stopniowo wyciekają pieniądze. Wbrew pozorom, to całkiem sprytne rozwiązanie - jednorazowa wypłata wszystkich dostępnych środków mogłaby wzbudzić podejrzenie w banku, podczas gdy powtarzające się transakcje na niewielkie kwoty zwykle nie są sprawdzane.

Zalecenia autorów raportu - specjalistów z Checkpoint oraz Versafe - są raczej standardowe: sugerują użytkownikom, by korzystali ze zaktualizowanego oprogramowania antywirusowego oraz by regularnie aktualizowali system operacyjny oraz wszystkie zainstalowane w nim aplikacje. Nie zaszkodzi też zachowanie ostrożności w postępowaniu z odnośnikami przesyłanymi do nas e-mailem oraz konsultowanie z pracownikami banków wszelkich nietypowych komunikatów wyświetlanych na ich stronach.

Źródło: Eurograbber White Paper (plik PDF)
fot. Adchariya Chanpipat | 123rf.com