Новый вариант троянца Zeus стал пиринговым

Александр Панасенко 13 Октября 2011 - 10:44

...

Финансовое вредоносное программное обеспечение Zeus получило обновление, оснащающее его пиринговой функциональностью. С P2P-возможностями закрытие хакерских ресурсов становится куда более сложной задачей, а сам троянец получает дополнительную степень гибкости для проведения мошеннических операций.

Роман Хасси, создатель интернет-проектов Abuse.ch и SpyEye, говорит, что обнаруженная им новая версия троянца Zeus представляет собой значительный шаг вперед в сравнении с другими версиями данного вредоноса.

Около года назад авторы Zeus уже сделали попытку в сторону отхода от единого командного центра и перехода к более сложной многодоменной системе. Система Licat to Zeus, обнаруженная антивирусной компанией Trend Micro, использовала специальный алгоритм для генерации случайных доменов, работающий по аналогии с системой червя Conficker. Таким образом, распространение шло со случайных доменов, сообщает cybersecurity.

Хасси говорит, что несколько недель назад он заметил новый алгоритм работы командных центров Licat. Поместив последний полученный вариант червя Zeus в программную "песочницу", эксперт заметил наличие странного UDP-трафика. Дальнейший анализ показал, что новый вариант Zeus имел несколько заранее встроенных IP-адресов, отвечавших инфицированным системам. Данные системы по цепочке зараженных ПК рассылали обновленные копии Zeus ранее зараженным системам и таким же образом передавали данные.

Таким образом, отследить конечного получателя можно было лишь проследив всю цепочку коммуникаций, которая может насчитывать сотни тысяч компьютеров.

Хасси предполагает, что данный вариант Zeus мог быть создан обособленной группой мошенников, которая к разработчикам оригинального троянца не имеет отношения. Также эксперт отмечает, что пиринговая версия Zeus уже разошлась большими масштабами - за сутки он обнаружил более 100 000 IP-адресов, с которыми взаимодействовал троянец. Большая часть зараженных компьютеров расположена в США, Италии и Индии.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 18 Декабря 2025 - 16:10

Windows Трояны Домашние пользователи Лаборатория Касперского

Stealka: новый троян для Windows крадёт всё — от паролей до карт

Новая угроза для компьютеров на Windows — троян Stealka. Его обнаружили эксперты «Лаборатории Касперского». Зловред специализируется на краже данных и старается действовать максимально незаметно: пользователь может долго не подозревать, что с его устройства утекают логины, пароли, платёжная информация и данные криптокошельков.

Больше всего атак Stealka специалисты зафиксировали в России, но география явно шире — заражения также нашли в Турции, Бразилии, Германии и Индии.

Злоумышленники делают ставку на маскировку. Троян прячут под видом модов и читов для игр, «активаторов» программ и других популярных загрузок. Распространяют его как через известные платформы вроде GitHub и SourceForge, так и через специально созданные сайты, которые внешне могут выглядеть как игровые порталы или фан-ресурсы.

Причём поддельные страницы часто выглядят очень правдоподобно — по мнению экспертов, при их создании могли использоваться ИИ-инструменты. Для дополнительного «успокоения» пользователей на некоторых сайтах перед скачиванием даже показывают фейковый процесс проверки файла якобы антивирусом.

Stealka создан на базе другого стилера — Rabbit Stealer, но получил расширенные возможности. Основная цель — данные из браузеров: сохранённые пароли, автозаполнение, платёжная информация. Помимо этого, троян собирает сведения о системе, список установленных программ и запущенных процессов.

На этом он не останавливается: Stealka умеет делать скриншоты экрана, а в отдельных случаях — догружать на заражённый компьютер майнер. Также он вытягивает данные из криптокошельков, мессенджеров, почтовых клиентов, приложений для заметок и даже игровых проектов.

Как отмечают в «Лаборатории Касперского», злоумышленники могут использовать уже украденные учётные данные для дальнейшего распространения зловреда. В одном из случаев заражённый мод для GTA V был загружен на специализированный сайт с взломанного аккаунта.

Продукты «Лаборатории Касперского» уже детектируют угрозу под именем Trojan-PSW.Win64.Stealka.gen. Эксперты советуют с осторожностью относиться к «бесплатным» читам, модам и активаторам, даже если они размещены на известных платформах, и не доверять сайтам, которые обещают безопасность, но выглядят слишком уж идеально.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »