בית שעון האבטחה זאוס טרויאני עושה קאמבק אחרי חודשים של שתיקה

זאוס טרויאני עושה קאמבק אחרי חודשים של שתיקה

2024

וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)

חוקרי טרנד מיקרו אמרו לאחרונה כי טרויאני של בנק זאוס חוזר עם קוד ויכולות חדשים.

לאחר כמעט ללא פעילות בינואר, גרסאות זאוס זינקו בתחילת פברואר והמשיכו להיות פעילים בכל חודש, והגיעו לשיא באמצע חודש מאי, כתב ג'יי ינאנזה, חבר בצוות התמיכה הטכנית של Trend Micro, בבלוג מודיעין האבטחה Trendlabs. הגרסא החדשה יותר מתנהגת אחרת ברגע שהיא מדביקה את המחשב, אך היא עדיין גונבת מידע כניסה מאתרי אינטרנט פיננסיים ואתרים רגישים אחרים.

זאוס היה שקט בעיקרו רוב השנה שעברה ותחילת השנה, לאחר שמיקרוסופט ושותפיה לאכיפת החוק תפסו בהצלחה מספר שרתי פיקוד ובקרה של זאוס במרץ 2012. באותה תקופה, מיקרוסופט הכירה בכך שהקמפיין נגד זאוס אינו שלם. מאמץ להסרה מכיוון שהיו יותר שרתי C&C שעדיין פעלו. אף על פי כן, מיקרוסופט שיבשה את פעולותיה ונכשלה רכיבי מפתח בתשתית כדי שזאוס לא היה נפוץ כמו שהיה פעם.

"איומים ישנים כמו ZBOT יכולים תמיד לעשות קאמבק מכיוון שפושעי סייבר מרוויחים מכך", אמר ינאזה.

זאוס הוא טרויאני גונב מידע שנועד לגנוב אישורי כניסה מקוונים לאתרים רגישים ממשתמשים, כמו בנקאות מקוונת וחשבונות דוא"ל. זאוס גונב גם מידע המאפשר זיהוי אישי. גרסאות קודמות שמרו נתונים גנובים וקובץ תצורה בתוך תיקיית מערכת של חלונות ושונו את קובץ המארחים כך שמשתמשים לא יוכלו לגשת לאתרים הקשורים לאבטחה. קובץ התצורה מכיל את שמות המוסד הפיננסי אותו התוכנה זדונית מחפשת במהלך הפעלת הדפדפן של המשתמש.

"שחקנים זדוניים יכולים לשנות את רשימת האתרים שהם רוצים לפקח במערכת המושפעת", אמר ינאזה.

ההבדל בין גרסאות

הגרסאות החדשות יוצרות שתי תיקיות בשם אקראי בספריית המשתמשים, אחת עבור תוכנות זדוניות ואחת עבור נתונים מוצפנים. יאנוזה אמר כי הטרויאנים האחרונים של זאוס הם "בעיקר מצרים או גרסאות GameOver". שתי הגרסאות שולחות שאילתות DNS לשמות דומיינים אקראיים כדי לחפש את שרת הפקודה והבקרה. המכונה הנגועה מקבלת רשימה של אתרים שעוקבים אחריהם משרת ה- C&C.

ינאזה אמר כי "רוכלות שנגנבו בבנקאות ומידע אישי אחר ממשתמשים הן עסק משתלם בשוק התת-קרקעי."

המשתמשים צריכים להיזהר בפתיחת הודעות דוא"ל ולחיצה על קישורים. עליהם לסמן אתרים מהימנים כך שלא יפנו אותם בטעות לאתרים זדוניים מכיוון שהם הקלידו את השם בשורת הכתובות. כמו כן יש לשמור על המחשב מעודכן עם העדכונים האחרונים עבור מערכת ההפעלה, תוכנות נפוצות ומוצרי אבטחה.