Печально известный банкер ZeuS начал атаковать 64-битные системы. В чем причина? Исследователи из «Лаборатории Касперского» обнаружили новую версию этого зловреда, которая ведет себя почти так же, как и ее 32-битные соплеменники. Она тоже использует веб-инжекты для кражи банковских реквизитов и вывода денег со счетов, ворует цифровые сертификаты, умеет перехватывать нажатия клавиш. Однако у находки «лаборантов» есть и другая особенность: эта версия ZeuS работает через анонимную сеть Tor.

Переориентация грозного «Зевса» на 64-битные мишени не может не вызвать недоумения. По словам эксперта «Лаборатории» Дмитрия Тараканова, основным назначением данного троянца является перехват и подмена информации в браузерах, однако 64-битную версию Internet Explorer применяют менее 0,01% интернет-пользователей. Более того, даже те, у кого установлена 64-битная ОС, чаще пользуются 32-битными браузерами. «Вполне возможно, что создание 64-битной версии ZeuS — это просто-напросто маркетинговый ход, — высказывает предположение Тараканов. — Новая функция по большому счету бесполезна, зато как звучит: поддержка 64-битных браузеров! Это может быть довольно действенным для продвижения вредоносного продукта и привлечения покупателей — операторов ботнетов».

Хотя поддержка 64 бит не особенно актуальна для современных киберпреступников, она открывает плодовитому банкеру новые перспективы. А способность самостоятельно общаться с C&C через Tor — свойство отнюдь не уникальное, но пока достаточно редкое — сулит ему выход на эксклюзивный рынок зловредов с аналогичным функционалом. «Вне зависимости от того, какими помыслами руководствовался автор рассматриваемой версии ZeuS, будь то рекламная уловка или задел на будущее, мы можем официально заявить, что полноценный 64-битный ZeuS существует,  — резюмирует Тараканов. — И это новая веха в развитии этого семейства».

Исходники ZeuS публично доступны онлайн с весны 2011 года. С тех пор в арсенале троянца появилось много нововведений, включая способность работать в составе р2р-ботнета. Свой основной функционал он реализует через веб-инжекты, которые срабатывают, когда в браузере открыты конкретные страницы банков. ZeuS внедряет в HTML-код дополнительный текст, собирает введенные в веб-форму данные и отправляет их оператору, прямым обращением к серверу или через других участников р2р-сети. Возможность осуществления таких коммуникаций через Tor позволяет зловреду работать более скрытно: ведь этот анонимный сервис не по зубам даже АНБ.

По свидетельству Тараканова, обнаруженная «лаборантами» 64-битная версия была внедрена в 32-битный экземпляр ZeuS и засветилась еще в июне. Более того, судя по дате компиляции, прописанной в этом образце, 29 апреля 2013 года, новая версия существует в дикой природе как минимум полгода. Эксперт также отметил, что троянец активирует свою программу tor.exe не прямым способом: вначале он запускает системный процесс svchost.exe в приостановленном состоянии и внедряет tor.exe в память этого процесса. Затем ZeuS настраивает внедренный код таким образом, чтобы тот работал под прикрытием svchost. После запуска tor.exe создает прокси-сервер, который слушает входящие соединения на ТСР-порту 9050. В результате при соответствующей настройке веб-браузера весь его трафик пойдет через Tor, включая обращения ZeuS к C&C-серверу. Последний, по словам Тараканова, расположен на onion-домене и доступен только через анонимную сеть.

ZeuS также создает на компьютере жертвы скрытый сервис Tor и каталог его конфигурации, а затем генерирует уникальный приватный ключ, на основе которого создается доменное имя. Таким образом, когда зараженная машина подключена к Интернету, ботовод получает возможность соединяться с ней по уникальному onion-домену и удаленно управлять рабочим столом жертвы.

Примечательно, что файл конфигурации 64-битного ZeuS содержит список из 100+ программ, на которые зловред должен отреагировать, если обнаружит их на зараженной машине. «Все программы из списка так или иначе работают с личными данными пользователя, которые могут быть очень интересны киберпреступникам; данными авторизации, сертификатами и т.п., — поясняет Тараканов, напоминая, что ZeuS способен перехватывать нажатия клавиш перед шифрованием и после него. — Соответственно, работая внутри этих программ, ZeuS может перехватить и отправить своему хозяину массу ценной информации».

Категории: Вредоносные программы, Главное