Onderzoekers hebben de eerste 64-bit versie van de gevaarlijke Zeus Trojan ontdekt, die voor een groot deel van de fraude met internetbankieren verantwoordelijk is. Zeus bestaat al verschillende jaren en wordt omschreven als de "trendsetter" voor moderne banking Trojans.
De malware onderschept authenticatiecodes en inloggegevens, onder andere door lokaal op de besmette computer extra invoervelden op het inlogscherm van de bankpagina toe te voegen. Ook kan de malware meerdere keren om authenticatiecodes vragen, die vervolgens naar de criminelen worden doorgestuurd. Die kunnen hiermee allerlei frauduleuze transacties verrichten. Vanwege alle features en mogelijkheid is Zeus al lange tijd één van de meest gebruikte banking Trojans.
Nu steeds meer mensen op een 64-bit versie van Windows overstappen verschijnt er ook steeds meer 64-bit malware. Het was dan ook de verwachting dat er ooit een 64-bit versie van Zeus zou verschijnen, maar dat dit nu als is gebeurd komt voor virusonderzoekers toch als een verrassing. Cybercriminelen hebben geen 64-bit versie nodig om gegevens voor internetbankieren te stelen. Veel gebruikers van 64-bit systemen werken namelijk nog met een 32-bit browser, aldus Dmitry Tarakanov van Kaspersky Lab.
Het anti-virusbedrijf ontdekte onlangs een 32-bit versie van Zeus die ook een 64-bit versie bevatte. Deze 64-bit versie bleek al zeker sinds juni actief in het wild te zijn en was op 29 april van dit jaar gecompileerd. Daarnaast blijkt de 64-bit versie Tor voor de communicatie te gebruiken. Zo wordt er onder andere een Tor hidden service op de besmette computer aangemaakt. Het gebruik van Tor door Zeus is niet nieuw, merkt Tarakanov op.
In tegenstelling tot voorgaande versies communiceert deze 64-bit variant alleen via Tor. Volgens de analist is de ontdekking van de 64-bit versie een mijlpaal in de ontwikkeling van Zeus, maar is het de vraag in hoeverre die al bruikbaar is. Uit cijfers van Kaspersky Lab blijkt dat het aantal IE-gebruikers met een 64-bit versie kleiner dan 0,01% is.
Deze posting is gelocked. Reageren is niet meer mogelijk.