Банковский троянец ZeuS давно не молод, но задор не теряет. По данным датской компании CSIS Security, в первом квартале особую активность проявляла его р2р-версия, известная как Gameover. Заражения данным зловредом были зафиксированы в 10 «новых», ранее обделенных его вниманием странах.

Дело в том, что Gameover, как обнаружили эксперты, обрел дополнительные веб-инжекты, позволившие за три месяца расширить список атакуемых брендов до 1515, тогда как в начале года их было менее 1000. По словам Петера Крусе (Peter Kruse), главы подразделения CSIS, занимающегося расследованием высокотехнологичных преступлений, большинство новых мишеней Gameover составляют банки и другие финансовые институты Африки, Ближнего Востока, Азии, Австралии и Европы.

Крусе также отметил, что продавцы ZeuS совершенствуют существующие веб-инжекты с тем, чтобы можно было обновлять зараженные компьютеры на лету. Используя эти дополнительные модули, ориентированные на конкретные мишени, банкер ворует данные пользователей путем подмены целевой страницы в браузере (производит инжект, инъекцию). Данный зловред обычно распространяется через спам или drive-by-атаки. «Большинство новейших спам-кампаний незаконно используют легитимные бренды, которые широко известны и считаются надежными во многих странах, — говорит эксперт. — Поэтому пользователи доверчиво кликают и активируют вредоносный код».

Распространяя ZeuS через спам, злоумышленники обычно используют загрузчик Upatre, активность которого, согласно Microsoft, заметно возросла в минувшем ноябре. В текущем году Upatre научился доставлять ZeuS в виде безобидных enc-файлов, чтобы уберечь вредоносные загрузки от блокировки. Месяц назад исследователи из Comodo обнаружили новый вариант ZeuS, подписанный действующим сертификатом швейцарской софтверной компании Isonet AG. Этот вариант маскируется под документ Internet Explorer и при активации пытается загрузить руткит-компоненты.

Категории: Вредоносные программы