image

Zeus Trojan plundert rekeningen via Jabber

vrijdag 28 augustus 2009, 14:55 door Redactie, 2 reacties

Begin juli werd bekend dat de Zeus Trojan bankrekeningen via de internetverbinding van zijn slachtoffer plundert of de inloggegevens via instant messaging software meteen doorstuurt naar de aanvallers. RSA laat nu weten dat de criminelen hiervoor Jabber gebruiken. De virusschrijvers hebben in dit geval de Jabber IM module direct in het Trojaanse paard verwerkt. Ze gebruiken hiervoor twee accounts, één voor het versturen van de gestolen inloggegevens en één voor het ontvangen ervan. Jabber is erg geliefd onder cybercriminelen, zo gebruikt de Sinowal bende de IM-software al sinds vorig jaar.

Voorheen stuurde Zeus gestolen informatie naar een "drop" server. Daar waren de gegevens niet altijd direct benaderbaar voor de crimineel in kwestie, een probleem wat met Instant Messaging omzeild wordt. Een ander voordeel is dat de criminelen zo weten wanneer een slachtoffer online en aan het bankieren is. Men kan dan direct op de computer van het slachtoffer inloggen en zo andere overschrijvingen doen. Deze man-in-the-middle en man-in-the-browser technieken worden steeds populairder, zo merkt RSA op.

Marktplaats
Zeus is volgens Symantec inmiddels het grootste botnet van het moment, mede veroorzaakt door het gemak waarmee de Zeus toolkit werkt en wordt aangeboden. Ondanks het feit dat de software illegaal is, wordt die openlijk op allerlei fora besproken en verkocht. Het aantal infecties is sinds februari weer aan het stijgen en bereikte in juli een hoogtepunt. Dat geldt ook voor het aantal unieke Zeus exemplaren, dat er inmiddels meer dan 70.000 zijn. Verder zijn zeker 154.000 computers met de malware besmet, maar het werkelijke aantal ligt waarschijnlijk veel hoger. Twee procent van alle met Zeus geïnfecteerde machines staat in Nederland. De virusbestrijder maakte deze video die laat zien hoe Zeus precies werkt.

Reacties (2)
28-08-2009, 16:59 door Anoniem
> Voorheen stuurde Zeus gestolen informatie naar een "drop" server.

Dat is dan nog steeds, alleen wordt in de php code van de drop server wat extra code toegevoegd die de 'aanvallers' een berichtje stuurd als er wat nieuws is wat aan een bepaald filter voldoet. Het is overigens ook niet zo dat dit bij alle zeus versies zo is, alleen bij enkele (het is een soort homebrew van een gebruiker).

Eigenlijk is dit niet heel spannend, en hiervoor zijn ook andere dingen dan jabber gebruikt. Alleen voor jabber is het makkelijk programmeren :)
31-08-2009, 13:49 door Anoniem
Bekijk even onderstaande URL in verband met Zeus, deze is opgenomen door onze collega's van Symantec Security Response Amerika.

http://www.youtube.com/watch?v=CzdBCDPETxk

Hierin krijg je een inside-look van hoe Zeus te werk gaat.

Demonstratie aan de hand van 2 desktops, waar links de "aanvaller" en rechts een gewone desktop.

Mvg
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.