トレンドマイクロの研究者は、新しいコードと機能を備えたZeusバンキングトロイの木馬が戻ってきたと述べた。
1月に実質的に活動がなかった後、2月の初めにZeusの亜種が急増し、毎月活動を続け、5月中旬にピークに達しました。 新しい亜種は、一度コンピュータに感染すると動作が異なりますが、金融ウェブサイトや他の機密サイトからログイン情報を盗みます。
Zeusは、Microsoftとその法執行機関のパートナーが2012年3月に複数のZeusコマンドアンドコントロールサーバーを押収した後、昨年と今年の初めにほとんど静かになりました。当時、MicrosoftはZeusに対するキャンペーンが完全ではなかったことを認めましたまだ稼働しているC&Cサーバーがさらにあったため、削除作業が行われました。 それでも、Microsoftは運用を中断し、インフラストラクチャの主要なコンポーネントを機能不全にして、Zeusを以前ほど一般的ではなくなりました。
「ZBOTのような古い脅威は、サイバー犯罪者がこれらから利益を得るため、常に復活する可能性があります」とYanezaは言いました。
Zeusは、オンラインバンキングや電子メールアカウントなどのユーザーから機密サイトへのオンラインログイン資格情報を盗むように設計された情報を盗むトロイの木馬です。 Zeusは、個人を特定できる情報も盗みます。 以前の亜種は、盗まれたデータと構成ファイルをWindowsシステムフォルダー内に保存し、ユーザーがセキュリティ関連サイトにアクセスできないようにホストファイルを変更しました。 構成ファイルには、マルウェアがユーザーのブラウザーセッションで検索する金融機関の名前が含まれています。
「悪意のある攻撃者は、影響を受けるシステムで監視したいサイトのリストを変更することができます」とヤネザは言いました。
バリアントの違い
新しい亜種は、ユーザーディレクトリに2つのランダムな名前のフォルダーを作成します。1つはマルウェア用で、もう1つは暗号化されたデータ用です。 ヤネザ氏によると、最新のZeusトロイの木馬は「ほとんどCitadelまたはGameOverの亜種」です。 両方の亜種は、DNSクエリをランダムドメイン名に送信して、コマンドアンドコントロールサーバーを探します。 感染したマシンは、C&Cサーバーから監視するサイトのリストを受け取ります。
「ユーザーから盗まれた銀行やその他の個人情報を行商することは、アンダーグラウンド市場で有利なビジネスです」とヤネザは言いました。
ユーザーは電子メールメッセージを慎重に開き、リンクをクリックする必要があります。 信頼できるサイトをブックマークして、URLアドレスバーに名前を入力したために誤って悪意のあるサイトにリダイレクトされないようにする必要があります。 また、オペレーティングシステム、一般的なソフトウェア、およびセキュリティ製品の最新の更新プログラムを使用して、コンピューターを最新の状態に保つ必要があります。
