Μία νέα επικίνδυνη παραλλαγή του ZeuS Banking Trojan εντοπίστηκε από την έχει αναγνωριστεί από την Comodo AV labs. Η νέα παραλλαγή υπογράφεται από ένα κλεμμένο Ψηφιακό Πιστοποιητικό που ανήκει σε έναν Developer της Microsoft, για να αποφεύγει τον εντοπισμό από προγράμματα περιήγησης του Web και συστήματα anti-virus.
Κάθε υπολογιστής με Windows, αναγνωρίζει και δέχεται λογισμικό που είναι υπογεγραμμένο με ψηφιακά πιστοποιητικά γνησιότητας της Microsoft, μια εξαιρετικά ευαίσθητη σφραγίδα κρυπτογράφησης.
Οι εγκληματίες του κυβερνοχώρου με κάποιο τρόπο κατάφεραν να αρπάξουν κάποιο έγκυρο ψηφιακό πιστοποιητικό της Microsoft, και το χρησιμοποιούν για να ξεγελάσουν τους χρήστες. Το κακόβουλο λογισμικό έρχεται ψηφιακά υπογεγραμμένο από την Microsoft και έτσι κανένα εργαλείο ασφαλείας δεν μπορεί να το αναγνωρίσει.
Τα malware με ψηφιακή υπογραφή αρχίζουν να κυκλοφορούν όλο και πιο συχνά από πέρυσι. Σύμφωνα με το THN, περισσότερα από 200.000 μοναδικά malware ανακαλύφθηκαν κατά τη διάρκεια δύο τελευταίων ετών και βρέθηκαν να έχουν έγκυρη ψηφιακή υπογραφή.
Η Comodo αναφέρει ότι ένα από τα malware που ανέλυσε προσπαθεί να εξαπατήσει το χρήστη ερχόμενο σαν αρχείο του Internet Explorer, Το κακόβουλο αρχείο είχε μια έγκυρη υπογραφή που έχει εκδοθεί για το “isonet ag.”
Όταν το κακόβουλο αρχείο εγκατασταθεί (χωρίς φυσικά να ανιχνευθεί από προγράμματα προστασίας) προσπαθεί να κατεβάσει rootkit:
To ZeuS Banking Trojan είναι ένα από τα παλαιότερα malware, αλλά αυτή η νέα εξελιγμένη παραλλαγή του Zeus Trojan είναι προστατευμένη με ψηφιακή υπογραφή της Microsoft. Έτσι είναι πολύ πιο εύκολο να ξεγελάσει χρήστες και anti-virus.
Τυπικά, το ZeuS malware εκτελεί μια επίθεση Man-In -Browser ( MitB ) που επιτρέπει στον hacker να υποκλέψει τα διαπιστευτήρια του θύματος (ονόματα χρηστών και κωδικούς πρόσβασης σε τραπεζικούς λογαριασμούς). .
“Αν το θύμα συνδεθεί σε ένα online banking site για να εκτελέσει κάποια συναλλαγή, όπως μεταφορά κεφαλαίων, δεν θα δει τίποτα περίεργο, όλα θα είναι όπως είναι συνήθως. Οι πληροφορίες όμως που θα πληκτρολογήσει θα είναι ορατές και στους hackers” εξήγησαν οι ερευνητές.
Χρειάζονται τρία συστατικά του ZeuS για να ξεκινήσει μια επίθεση:
Downloader: Μόλις το κακόβουλο λογισμικό εγκατασταθεί από καποια online ευπάθεια ή από ένα συνημμένο που έρχεται με ένα μήνυμα ηλεκτρονικού ταχυδρομείου, θα κατεβάσει το rootkit και το malware.
Malware: Είναι ο κλέπτης που θα κλέψει τα πολύτιμα δεδομένα του χρήστη, τα στοιχεία σύνδεσης, τις πληροφορίες των πιστωτικών καρτών κλπ
Rootkit: Θα κρύψει το εγκατεστημένο κακόβουλο λογισμικό προστατεύοντάς το από την ανίχνευση και την αφαίρεση. Το rootkit εγκαθίσταται με την αποκρυπτογράφηση του αρχείου στο “Boot Bus Extender”, έτσι θα φορτώνεται πριν από κάθε driver και αυτό καθιστά δύσκολη την αφαίρεση του.