Video: Dopo quanto tempo un uomo ritorna? (Settembre 2024)
Il Trojan bancario Zeus è tornato, con nuovo codice e funzionalità, hanno detto recentemente i ricercatori di Trend Micro.
Dopo praticamente nessuna attività a gennaio, le varianti di Zeus sono aumentate all'inizio di febbraio e hanno continuato a essere attive ogni mese, raggiungendo un picco a metà maggio, Jay Yaneza, un membro del team di supporto tecnico di Trend Micro, ha scritto sul blog Trendlabs Security Intelligence. La variante più recente si comporta in modo diverso una volta che ha infettato il computer, ma ruba comunque le informazioni di accesso da siti Web finanziari e altri siti sensibili.
Zeus è stato sostanzialmente silenzioso quasi tutto l'anno scorso e all'inizio di quest'anno dopo che Microsoft e i suoi partner delle forze dell'ordine hanno sequestrato con successo diversi server di comando e controllo Zeus nel marzo 2012. All'epoca, Microsoft ha riconosciuto che la campagna contro Zeus non era completa sforzo di rimozione perché c'erano ancora più server C&C che erano ancora operativi. Anche così, Microsoft ha interrotto le operazioni e paralizzato i componenti chiave dell'infrastruttura per rendere Zeus meno comune di prima.
"Le vecchie minacce come ZBOT possono sempre tornare, perché i cyber-criminali ne traggono profitto", ha detto Yaneza.
Zeus è un Trojan che ruba informazioni progettato per rubare le credenziali di accesso online a siti sensibili dagli utenti, come l'online banking e gli account di posta elettronica. Zeus ruba anche informazioni di identificazione personale. Le varianti precedenti hanno salvato i dati rubati e il file di configurazione all'interno di una cartella di sistema di Windows e hanno modificato il file hosts in modo che gli utenti non potessero accedere ai siti relativi alla sicurezza. Il file di configurazione contiene i nomi dell'istituto finanziario che il malware cerca nella sessione del browser dell'utente.
"Gli attori dannosi possono modificare l'elenco dei siti che desiderano monitorare sul sistema interessato", ha affermato Yaneza.
Differenza tra le varianti
Le nuove varianti creano due cartelle con nome casuale nella directory dell'utente, una per il malware e una per i dati crittografati. Gli ultimi Zeus Trojan sono "per lo più varianti Citadel o GameOver", ha detto Yaneza. Entrambe le varianti inviano query DNS a nomi di dominio casuali per cercare il server di comando e controllo. La macchina infetta riceve un elenco di quali siti monitorare dal server C&C.
"La vendita di informazioni bancarie rubate e altre informazioni personali dagli utenti è un'attività redditizia nel mercato sotterraneo", ha affermato Yaneza.
Gli utenti devono fare attenzione ad aprire messaggi e-mail e fare clic sui collegamenti. Dovrebbero aggiungere segnalibri ai siti attendibili in modo da non essere reindirizzati accidentalmente a siti dannosi perché hanno digitato il nome nella barra degli indirizzi URL. Inoltre, il computer deve essere aggiornato con gli ultimi aggiornamenti per il sistema operativo, il software comune e i prodotti di sicurezza.
