Ботнет ZeuS обзаводится новыми инструментами управления

Ботнет ZeuS, используемый для осуществления финансовых преступлений – похищения реквизитов и денежных средств со счетов банковских систем, взлома сетей автоматизированных расчетных палат и платежных систем, – теперь обладает новыми возможностями. В последней версии инструментария, базовый комплект которого стоит около 3 тысяч долларов, появился модуль ценой в 10 тысяч долларов, позволяющий злоумышленнику захватить полный контроль над машиной жертвы.

По словам Дона Джексона (Don Jackson), возглавляющего работы по исследованию угроз в компании SecureWorks, в состав программного обеспечения ZeuS v.1.3.4.x, автор и владелец которого, как полагают специалисты, является жителем Восточной Европы, вошел полноценный инструмент для удаленного управления захваченным компьютером. Этот модуль, разработанный в лаборатории AT&T Bell Labs для проекта Virtual Network Computing (VNC), по сей день является частью программных пакетов для удаленного доступа, таких как GoToMyPC.

Клиент ботнета – троянская программа ZeuS – занимает на диске зараженного компьютера под управлением Windows около 50 кБ. Вскоре после первого появления в 2007 году она выполняла функции шпионского ПО, однако затем, распространившись по сетям стран Азии, Южной Америки, США и Мексики, программа стала использоваться с целью наживы.

Если первоначально ответственность за создание ботнета исследователи возлагали на группу под названием UpLevel, теперь число подозреваемых сократилось до одного человека, который, как считают специалисты по компьютерной безопасности, удерживает контроль над ZeuS 1.3 и более поздних версий с помощью аппаратных средств защиты от копирования.

Исследователь SecureWorks Кевин Стивенс (Kevin Stevens) уверен, что для защиты кода комплекта ZeuS Builder используется механизм, подобный WinLicense, учитывающий множество параметров аппаратной конфигурации системы. Его старые версии находятся в свободном доступе, однако современные модификации ZeuS недешевы.

Помимо базового набора стоимостью от 3 до 4 тысяч долларов, к нему прилагается модуль обратной связи для подключения к зараженной машине и проведения финансовых операций, который обойдется в 1,5 тысячи. Его использование гарантирует, что при отслеживании источников транзакции банковская служба безопасности выявит лишь машину владельца аккаунта. Еще один модуль, стоимостью в 2 тысячи долларов, без которого преступник будет ограничен системами под управлением Windows XP, позволяет обходить защиту Windows 7 и Vista.

Такую же сумму требуется уплатить за модуль, перехватывающий информацию, которую пользователь браузера Firefox вводит в онлайн-формы, – имена и пароли от банковских аккаунтов. 500-долларовый инструмент уведомления позволяет злоумышленнику получать похищенные сведения немедленно, чтобы воспользоваться актуальным пользовательским подключением. Наконец, модуль VNC, самый дорогой из перечисленных, поможет преступнику обойтись без смарт-карты, использование которой часто необходимо при проведении крупных платежей. По оценке специалистов SecureWorks, оплата покупки инструментария ZeuS чаще всего производится через системы Western Union и Web Money.

Дон Джексон заявляет, что последняя версия ZeuS ориентирована на крупные финансовые операции. Она предусматривает обход большинства современных механизмов аутентификации, используемых банками, за исключением процедуры подтверждения операции, в которой участвует двое человек, часто выбираемых случайно из определенной группы. Новая версия ZeuS 1.4 уже находится в статусе бета.