Vídeo: How to trace a Trojan back to it's owner (Outubro 2024)
O Trojan bancário Zeus está de volta, com novos códigos e capacidades, disseram recentemente os pesquisadores da Trend Micro.
Depois de praticamente nenhuma atividade em janeiro, as variantes do Zeus aumentaram no início de fevereiro e continuaram ativas a cada mês, atingindo o pico em meados de maio, escreveu Jay Yaneza, membro da equipe de suporte técnico da Trend Micro, no blog Trendlabs Security Intelligence. A nova variante se comporta de maneira diferente quando infecta o computador, mas ainda rouba informações de login de sites financeiros e outros sites confidenciais.
O Zeus ficou praticamente quieto a maior parte do ano passado e o começo deste ano depois que a Microsoft e seus parceiros policiais apreenderam com êxito vários servidores de comando e controle do Zeus em março de 2012. Na época, a Microsoft reconheceu que a campanha contra o Zeus não era completa. esforço de remoção porque havia mais servidores C&C que ainda estavam em operação. Mesmo assim, a Microsoft interrompeu as operações e danificou os principais componentes da infraestrutura para tornar o Zeus não tão comum como costumava ser.
"Antigas ameaças como o ZBOT sempre podem voltar, porque os cibercriminosos lucram com isso", disse Yaneza.
O Zeus é um Trojan que rouba informações, projetado para roubar credenciais de login on-line para sites confidenciais de usuários, como contas bancárias e e-mail on-line. Zeus também rouba informações de identificação pessoal. As variantes anteriores salvaram os dados roubados e o arquivo de configuração dentro de uma pasta do sistema Windows e modificaram o arquivo hosts para que os usuários não pudessem acessar sites relacionados à segurança. O arquivo de configuração contém os nomes da instituição financeira que o malware procura na sessão do navegador do usuário.
"Atores maliciosos podem alterar a lista de sites que desejam monitorar no sistema afetado", disse Yaneza.
Diferença entre variantes
As novas variantes criam duas pastas com nomes aleatórios no diretório do usuário, uma para malware e outra para dados criptografados. Os mais recentes Trojans Zeus são "principalmente as variantes Citadel ou GameOver", disse Yaneza. Ambas as variantes enviam consultas DNS para nomes de domínio aleatórios para procurar o servidor de comando e controle. A máquina infectada recebe uma lista de quais sites monitorar do servidor C&C.
"A venda de bancos roubados e outras informações pessoais dos usuários é um negócio lucrativo no mercado underground", disse Yaneza.
Os usuários precisam ter cuidado ao abrir as mensagens de email e clicar nos links. Eles devem marcar sites confiáveis como favoritos para não serem redirecionados acidentalmente para sites mal-intencionados, porque digitaram o nome na barra de endereços URL. O computador também deve ser atualizado com as atualizações mais recentes do sistema operacional, software comum e produtos de segurança.
