Участники ИБ-сообщества Malware Must Die (MMD) предупреждают об утечке двоичного кода билдера итерации ZeuS, известной как ZeusVM (версии 2), и исходного кода ее панели управления. Отныне любой пользователь Интернета сможет с помощью этого тулкита генерировать бинарники ZeusVM 2.0.0.0 и грузить их на ботнет через админ-панель. В ближайшее время можно ожидать также ввода в эксплуатацию версии 3 этого банкера, реклама которой с назначенной ценой уже появилась на одном из хакерских форумов.

Утечку обнаружил активист MMD, использующий ник Xylit0l, который поделился своей находкой с коллегами 26 июня. В настоящее время Xylit0l занимается тестированием публично доступного кода, распространением результатов анализа среди заинтересованных лиц и ликвидацией точек раздачи тулкита ZeusVM 2.0.0.0.

Участники MMD отмечают, что, хотя автор данного банкера называет свое детище KINS 2.0.0.0, его панель управления идентична той, которую использует классический ZeuS. Кроме того, конфигурация билдера и генерируемый бинарник явно говорят о связи с ZeusVM и совершенно отличны от тех, которые использовали предыдущие версии KINS. Как показал анализ, утекший код использует стеганографию, скрывая конфигурационные данные в файле формата JPG. Основываясь на этих наблюдениях, активисты склонны идентифицировать свою находку как ZeusVM 2.0.0.0.

Протестированные Xylit0l веб-инжекты банкера четко отрабатывали как в Firefox, так и в Internet Explorer.

MMD просит у интернет-сообщества помощи в блокировке сайтов, с которых осуществляется загрузка ZeusVM 2.0.0.0. Активисты также предлагают вредоносный архив для исследования и укрепления обороноспособности. Вендоры защитных решений, национальные CERT, правоохранительные органы могут обратиться с соответствующим запросом в MMD, на VirusTotal или в иной доверенный источник.

Категории: Вредоносные программы, Главное, Кибероборона