Ботнет ZeuS получил новые инструменты управления

Эксперты SecureWorks опубликовали перечень новейших опций для ZeuS,
которые появились в конце прошлого года и предлагаются на подпольном
рынке за отдельную плату.  Троян ZeuS Trojan-Spy.Win32.Zbot специализируется на краже
информации с зараженного компьютера и предоставляется, как правило, в
составе готовых комплектов для проведения кибератак, которые в
последнее время приобрели большую популярность у сетевого криминала.
Каждый обладатель ZeuS, создавая собственный ботнет, стремится внести
свой вклад в совершенствование столь удобного публичного инструмента
для монетизации корыстных помыслов. 

По свидетельству исследователей, последняя версия базового
комплекта ZeuS распространяется на платной основе и защищена своего
рода лицензией. Активацию кода на машине обеспечивает типовой механизм
защиты от пиратства, который основан на привязке к конкретной
аппаратной конфигурации.

На настоящий момент вирусописателями разработан ряд модулей,
расширяющих возможности администрирования ZeuS. Самый мощный и
дорогостоящий из них позволяет злоумышленникам поддерживать полноценную
связь с зараженным компьютером, контролируя все его аппаратные и
программные ресурсы. Используя VNC-модуль (Virtual Network Computing),
оператор ботнета может обходить большинство аппаратных средств
аутентификации, применяемых банками, и отчислять любые суммы со счетов
жертвы, не опасаясь поднять тревогу.

Более ограниченными возможностями обладает маскировочный модуль,
который в случае банковской проверки удостоверяет, что финансовая
операция проведена с компьютера держателя счета. Компонент,
ориентированный на Firefox, позволяет ZeuS воровать персональные
идентификаторы, вводимые в формы через этот веб-браузер. Уведомитель
режима реального времени обеспечивает мгновенную отсылку украденных
данных через Jabber-клиент. Еще один новый модуль расширяет диапазон
мишеней, позволяя атаковать не только машины под Windows XP, но также
под Windows 7 и Vista.

По имеющимся сведениям, в настоящее время вирусописатели проводят
бета-тестирование следующей версии троянца — ZeuS 1.4. Она будет
обладать расширенными возможностями работы с браузером Firefox,
позволяя на лету внедрять дополнительное поле в легитимную страницу,
воспроизводимую на экране. Если владелец зараженного компьютера заходит
на банковский сайт и не очень внимателен, ему придется вводить не
только привычные идентификаторы, но и ту информацию, которая интересует
злоумышленников. В настоящее время такой трюк ZeuS выполняет только на
машинах, использующих IE.

Эксперты отмечают, что основным нововведением станет полиморфное
шифрование. Троян сможет перепаковываться при каждом заражении, и для
резидентных файлов будут генерироваться произвольные имена. Таким
образом, боты ZeuS станут носителями уникальных цифровых отпечатков, и
идентифицировать их будет еще сложнее.

источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Следствие по делу о REvil в России зашло в тупик

Как стало известно «Ъ», расследование деятельности предполагаемых участников группировки REvil, об аресте которых в январе сообщила ФСБ России, приостановилось. Американские коллеги так и не предоставили информации о жертвах и причиненном ущербе, поэтому подозреваемых можно обвинить только махинациях с банковскими картами двух граждан США, разыскать которых не представляется возможным.

Напомним, аресты в России были проведены с подачи американцев в рамках сотрудничества двух стран по вопросам кибербезопасности. В ходе недавнего интервью замглавы Совбеза РФ Олег Храмов рассказал «Российской газете», что в прошлом году заокеанские партнеры попросили под любым предлогом арестовать «главного хакера» — россиянина по фамилии Пузыревский, и предоставили его IP-адрес.

Российским спецслужбам удалось выяснить, что речь идет о рестораторе Данииле Пузыревском из Санкт-Петербурга. Попутно были идентифицированы 13 предполагаемых соучастников операций REvil, а также установлены две жертвы. Ими оказались проживающие в США мексиканцы, у которых подозреваемые, по версии следствия, дистанционно украли деньги, впоследствии потратив их в интернет-магазинах, с оплатой товаров по электронным средствам связи.

В России возбудили уголовное дело в соответствии с ч. 2 ст. 187 УК (неправомерное использование средств платежа в составе преступной группы), однако на том все и остановилось. Американская сторона, по словам Храмова, так и не предоставила обещанных дополнительных доказательств и даже не подтвердила ущерб от вымогательства. Более того, россиянам сообщили, что США в одностороннем порядке выходят из совместной рабочей группы и закрывают канал связи.

Адвокат одного из задержанных решил воспользоваться затишьем и добиться освобождения своего клиента. С этой целью он обратился к Храмову, отметив, что в уголовном деле до сих пор нет потерпевших и не указан ущерб, причиненный обвиняемыми. Допросов в СИЗО не проводится, поэтому защита просит генерала посодействовать в изменении меры пресечения, а затем — в прекращении уголовного преследования.

«На мой взгляд, разумным выходом из этой ситуации была бы сделка обвиняемых с Генпрокуратурой, — заявил «Ъ» автор прошения Игорь Вагин. — В ее рамках фигуранты получили бы освобождение от уголовной ответственности».

Адвокат также отметил, что изъятые денежные средства по условиям сделки могли бы быть потрачены на благие нужды, а «уникальный опыт» фигурантов дела наверняка пригодился бы российским спецслужбам.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru