Эксперты обнаружили вариант банковского троянца ZeuS, который получает конфигурационные данные, загружая файл в формате JPG. Как оказалось, авторы нововведения скрыли ключевую информацию в коде безобидного фотоснимка, надеясь таким образом уберечь ее от блокировки.

Необычное поведение банкера первым заметил французский исследователь, известный под ником Xylitol: зловред загружал некий JPG-файл с того же сервера, на котором были размещены другие компоненты ZeuS. Впоследствии Xylitol обнаружил в этом файле признаки стеганографии и поделился своей находкой с Джеромом Сегурой (Jerome Segura), своим коллегой из Malwarebytes.

Подробный анализ изображения, загружаемого ZeusVM, как окрестили эту итерацию в Malwarebytes, показал, что вирусописатели взяли произвольный снимок из Интернета и дополнили его код скрытыми данными. По словам экспертов, целевая информация была зашифрована в Base64, а затем с помощью RC4 и XOR. После ее расшифровки оказалось, что JPG-файл содержит адреса банков-мишеней, в том числе Deutsche Bank, Wells Fargo и Barclays. Руководствуясь этим списком, ZeusVM отслеживал заход жертвы в систему онлайн-банкинга, перехватывал ее данные и с их помощью проводил мошеннические транзакции.

Использование стеганографии как способа маскировки присутствия вредоносного кода — трюк отнюдь не новый, вирусописатели оценили эту технику довольно давно. «Такой метод сокрытия вредоносного кода позволяет с успехом обходить сигнатурные системы обнаружения вторжений и даже антивирусное ПО, — отметил Сегура. — Администраторы сайтов склонны считать все изображения безвредными, тем более если те нормально открываются».

К сожалению, утечка исходников мощного банкера существенно облегчила жизнь вирусописателям и операторам ботнетов. Уже более двух лет кастомизированные версии ZeuS растут как грибы, обзаводясь новыми модулями и функциями. Два дня назад, например, на NetworkWorld.com появилось сообщение о варианте, снабженном подобием поискового бота. Этот ZeuS атакует пользователей CRM-системы Saleforce.com: отслеживает авторизацию в этом SaaS-приложении и быстро выкачивает бизнес-данные. «Он выкрал более 2 Гб менее чем за 10 минут», — заявил Network World Тал Клейн (Tal Klein), вице-президент по маркетингу израильской ИБ-компании Adallom, добавив, что его компания впервые сталкивается с таким способом использования ZeuS.

Категории: Вредоносные программы