A Zeus banki trójai programmal hozható kapcsolatba az a weboldal, amely hírességek és kormányzati szereplők bizalmas pénzügyi adatait hozta nyilvánosságra az elmúlt héten. A Krypt3ia néven is ismert független biztonsági szakértő Scot A. Terban a Maltego nevű szoftverrel vizsgálta át az exposed.su nevű weboldalt, amelyen egyebek mellett Beyonce-ről vagy a éppen Robert Mueller-ről, az FBI igazgatójáról hoztak nyilvánosságra bizalmas adatokat. Az eset felkeltette az FBI és az Egyesült Államok Titkosszolgálatának az érdeklődését is. Az exposed.su már nem elérhető, de Terban a Maltego segítségével készített egy érdekes pillanatképet, hogy megvizsgálja, ki állhat az oldal mögött.

A berlini rendőrség kiadott egy figyelmeztetést, miután számos banki ügyfél jelezte, hogy csalók pénzt emeltek le a számlájukról. Az összes áldozat Android-os okostelefont használt, amely a banki tranzakciók alkalmával az mTAN (mobile transaction authentication numbers) rendszert használja. Az F-Secure szakértői véleménye szerint az incidensekben leginkább a Zeus banki trójai mobil verziója a bűnös, amit ZeuS-in-the-Mobile vagy röviden Zitmo néven ismernek. A Zitmo egy olyan káros szoftver, amely önmagában haszontalan, és csak akkor veszélyes, ha kiegészítésképpen ott van a Windows operációs rendszert megfertőzött Zeus is. Ha a Zeus által fertőzött gépen valaki meglátogatja egy bank weboldalát, akkor a káros szoftver olyan kódot szúr be a böngészőbe, amely egy biztonsági figyelmeztetésnek mutatja magát, és bizalmas adatokat kér az áldozattól (például telefonszám, telefon típusa).

Újabb nap, újabb káros szoftver és ezúttal ez egy ismeretlen, Delphi nyelveben íródott alkalmazás, amely titkosítja a merevlemezen található dokumentumokat és lecseréli azokat álcázott futtatható állományokra. A cégek IT részlegei jogosan tartanak a hasonló kártékony szoftverektől, hiszen  ilyen fertőzés egy egész vállalat működését megbéníthatja. És hogy vajon, hogyan eshetünk áldozatul egy ilyen támadásnak? Ezúttal úgy tűnik nem egy népszerű weboldal drive-by sérülékenységének kihasználásáról, vagy egy teljes "reklámszerver" fertőzöttségéről beszélünk, hanem egy új Zeus variáns, a Citadel az, amely letölti és futtatja az "a.exe" fertőzött állományt.

A Kaspersky kutatói a ZeuS-in-the-Mobile (Zitmo) új variánsát fedezték fel, amely az Android és a Blackberry felhasználókat is támadja. A ZitMo nem egy új jelenség, már közel két éves, de a Blackberry rendszereket korábban még nem vette célba egyetlen alkalommal sem. A szakértők öt új mintát találtak, ebből négyet Blackberry-n, egyet pedig Android-on.

Ismeretlen kilétű kiberbűnözők egy összetett többfázisú támadást intéztek a Maplesoft ügyfelei ellen: először feltörték a cég ügyfél adatbázisait, majd megpróbálták rávenni az ügyfeleket egy rosszindulatú "biztonsági patch" telepítésére a cég nevében. Azon ügyfelek akik teljesítették a kérést saját kezűleg fertőzték meg rendszereiket a Zeus trójai egy variánsával.

A sorozat utolsó részéhez érkeztünk. A korábbi bejegyzések bemutattak egy támadást, amelyet egy jól szervezett kiberbűnözői csoport hajtott végre. Ebben a cikkben összesítjük, hogy a támadás mennyire volt sikeres, és a bűnözők milyen eredményeket értek el. Az elmúlt évben a csoport kifejlesztette és tökéletesítette az infrastruktúráját, amit a támadáshoz használt. Júliustól november közepéig körülbelül 30000 számítógépet fertőztek meg, elsősorban az Egyesült Királyságban.

A Zeus egy trójai típusú károkozó szoftver, amely a banki felhasználói adatokat lopja el böngészőbe beépülve a billentyű leütéseket naplózva, illetve from grabbing mószert használva. A Zeus főleg letöltések és adathalász támadások útján terjed. 2007 elején bukkant fel először, amikor az Egyesült Államok Szállítási Minisztériumában próbált meg adatokat lopni, majd igazán 2009 márciusában terjedt el. 2009 júniusban a Prevx biztonsági cég felfedezte, hogy több mint 74000 FTP accountot tört fel, amelyek olyan oldalakhoz tartoztak, mint például a Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon és a BusinessWeek.

Miután a Zeus letöltődött az áldozat gépére, majd feltelepült, először a rendszer folyamatokhoz kapcsolódik (Explorer.exe, ctfmon.exe), ezután saját magát a felhasználó ”Application Data” mappájába másolja. Számos változást hajt végre a regisztrációs adatbázisban, többek között hozzáadja ezt a bejegyzést: "HKU\Software\Microsoft\Windows\CurrentVersion\Run". Ez lehetővé teszi, hogy a Windows minden indításánál lefusson a malware.

Mondjuk, hogy te egy kibertolvaj vagy, aki éppen most tört fel több száz banki fiókot, amelyek együtt sok millió dollárt érnek. Gratulálunk. Most te vagy a legnagyobb veszély az egész világra nézve. Most már csak arra van szükséged, hogy rátedd a kezed erre a pénzre. Hogyan csinálod? Nem sétálhatsz be csak úgy egy bankfiókba, és hozhatod ki onnan zsákban a pénzt, ugye? Vagy mégis? Az elmúlt héten két biztonsági cég is azt jelentette, hogy több tíz millió dollárt loptak el különböző bankoktól világszerte a Zeus és a SpyEye egyik új variánsait felhasználva.

A Microsoft két embert nevezett meg, akik irányítják a Zeus botnet-et, és az összegyűjtött adatokat átadta az FBI részére. A redmondi cég Jevhen Kulibaba és JuriJ Konovalenko nevű kiberbűnözőket tartja a két kulcsfontosságú szereplőnek a botnet működésében. Az FBI-nak nem kell messzire mennie a két személy kiadásáért, ugyanis mindketten Őfelsége egyik angliai börtönében töltik négy éves büntetésüket Zeus-szal kapcsolatos vétkeik miatt. Miután leülték a büntetésüket, az Egyesült Államok beállhat abba a sorba, akik a páros kiadatását kérik majd.