Spełniło się nieuchronne – pojawił się 64-bitowy ZeuS

13 grudnia, 2013

Eksperci z Kaspersky Lab wykryli 64-bitową wersję szkodliwego programu ZeuS – jednego z najszerzej rozprzestrzenionych i najbardziej zaawansowanych narzędzi cyberprzestępczych służących do kradzieży danych związanych z transakcjami finansowymi online. Nowa wersja ZeuSa potrafi również ukrywać komunikację z cyberprzestępcami przy użyciu anonimowej sieci Tor.

Coraz więcej użytkowników przechodzi na 64-bitowe systemy operacyjne. Za trendem tym podążają także cyberprzestępcy i tworzą coraz więcej szkodliwych programów, które są w stanie działać w takim środowisku i infekować 64-bitowe aplikacje. Tak właśnie stało się w przypadku ZeuS-a – jednego z najbardziej wyrafinowanych przedstawicieli bankowego szkodliwego oprogramowania. Wiele wprowadzonych w nim funkcji stanowi obecnie standard we wszystkich nowych zagrożeniach bankowych. Pojawienie się 64-bitowej wersji ZeuSa było zatem jedynie kwestią czasu, jednak eksperci ds. bezpieczeństwa nie spodziewali się, że nastąpi to tak szybko.

Powodem, dla którego nikt nie spodziewał się tak szybkiego powstania 64-bitowego ZeuSa, jest to, że cyberprzestępcy tak naprawdę nie potrzebują takiej wersji. Głównym celem ZeuSa jest przechwytywanie danych przepływających przez przeglądarki internetowe i modyfikowanie ich w taki sposób, aby atakujący mógł ukraść informacje związane z bankowością online, przechwytywać transakcje lub zacierać swoje ślady. Dzisiaj użytkownicy nadal wykorzystują przede wszystkim 32-bitowe przeglądarki – nawet na 64-bitowych systemach operacyjnych. A zatem 32-bitowe wersje ZeuSa wystarczyły, aby złodzieje byli zadowoleni ze swoich zysków. Historia pokazuje, że cyberprzestępcy nie są skorzy do inwestowania czasu i pieniędzy w technologie, które nie przynoszą natychmiastowego zysku. Powstaje zatem pytanie, w jakim celu stworzono 64-bitowego ZeuSa.

Analiza przeprowadzona przez ekspertów z Kaspersky Lab wykazała, że nowy ZeuS działa tak samo jak jego 32-bitowy odpowiednik. Dodatkowo, badania ujawniły, że podczas tworzenia tej wersji cyberprzestępcy nie ustrzegli się błędów – niektóre atakowane 64-bitowe procesy przestają funkcjonować po tym, jak nowy ZeuS zmodyfikuje je swoim szkodliwym kodem. Eksperci z Kaspersky Lab nie zauważyli także, by użytkownicy masowo zaczęli się przesiadać na 64-bitowe wersje przeglądarek internetowych. Z danych firmy wynika, że z 64-bitowej wersji Internet Explorera korzysta mniej niż 0,01 proc. użytkowników. Skoro zatem stworzenie 64-bitowej wersji ZeuSa wiązało się z problemami technicznymi, a do tego tak naprawdę nie jest on cyberprzestępcom potrzebny, postawione powyżej pytanie o zasadność takiego przedsięwzięcia nabiera jeszcze większego sensu.

Tor – anonimowa komunikacja z cyberprzestępcami kontrolującymi ZeuSa

Szczegółowe badania wykazały, że wersja 64-bitowa ZeuSa wykorzystuje do komunikacji z cyberprzestępcami anonimową sieć Tor, która uniemożliwia analizowanie ruchu sieciowego i w konsekwencji zapewnia użytkownikom prawie anonimowy dostęp do zasobów internetu. Kod szkodnika zawiera plik wykonywalny tor.exe, który uruchamiany jest w sposób pośredni – poprzez podszycie tej aplikacji pod jeden z procesów systemowych. W ten sposób użytkownik nie zauważy obecności Tora w swoim systemie – nawet na liście uruchomionych procesów. Wynika z tego, że nowa wersja ZeuSa jest w stanie całkowicie samodzielnie zapewnić sobie anonimową komunikację z kontrolującymi ją cyberprzestępcami.

„Niezależnie od intencji cyberprzestępców, którzy stworzyli nową wersję ZeuSa – czy jest to trik marketingowy, czy ewolucja na potrzeby przyszłych wersji – w końcu istnieje w pełni 64-bitowy ZeuS i można powiedzieć, że został wykonany nowy krok milowy w ewolucji tego szkodliwego programu” – komentuje Dmitrij Tarakanow, ekspert z Kaspersky Lab.

Szczegóły techniczne dotyczące nowej, 64-bitowej wersji ZeuSa są dostępne w serwisie SecureList.pl prowadzonym przez Kaspersky Lab:http://securelist.pl/blog/7253,spelnilo_sie_nieuchronne_pojawil_sie_64_bitowy_zeus_z_mozliwoscia_komunikacji_za_posrednictwem_sieci_tor.html.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]