Eksperci z Kaspersky Lab wykryli 64-bitową wersję szkodliwego programu ZeuS – jednego z najszerzej rozprzestrzenionych i najbardziej zaawansowanych narzędzi cyberprzestępczych służących do kradzieży danych związanych z transakcjami finansowymi online. Nowa wersja ZeuSa potrafi również ukrywać komunikację z cyberprzestępcami przy użyciu anonimowej sieci Tor. Coraz więcej użytkowników przechodzi na 64-bitowe systemy operacyjne.
Za trendem tym podążają także cyberprzestępcy i tworzą coraz więcej szkodliwych programów, które są w stanie działać w takim środowisku i infekować 64-bitowe aplikacje. Tak właśnie stało się w przypadku ZeuS-a – jednego z najbardziej wyrafinowanych przedstawicieli bankowego szkodliwego oprogramowania. Wiele wprowadzonych w nim funkcji stanowi obecnie standard we wszystkich nowych zagrożeniach bankowych. Pojawienie się 64-bitowej wersji ZeuSa było zatem jedynie kwestią czasu, jednak eksperci ds. bezpieczeństwa nie spodziewali się, że nastąpi to tak szybko.
Powodem, dla którego nikt nie spodziewał się tak szybkiego powstania 64-bitowego ZeuSa, jest to, że cyberprzestępcy tak naprawdę nie potrzebują takiej wersji. Głównym celem ZeuSa jest przechwytywanie danych przepływających przez przeglądarki internetowe i modyfikowanie ich w taki sposób, aby atakujący mógł ukraść informacje związane z bankowością online, przechwytywać transakcje lub zacierać swoje ślady. Dzisiaj użytkownicy nadal wykorzystują przede wszystkim 32-bitowe przeglądarki – nawet na 64-bitowych systemach operacyjnych. A zatem 32-bitowe wersje ZeuSa wystarczyły, aby złodzieje byli zadowoleni ze swoich zysków. Historia pokazuje, że cyberprzestępcy nie są skorzy do inwestowania czasu i pieniędzy w technologie, które nie przynoszą natychmiastowego zysku. Powstaje zatem pytanie, w jakim celu stworzono 64-bitowego ZeuSa.
Analiza przeprowadzona przez ekspertów z Kaspersky Lab wykazała, że nowy ZeuS działa tak samo jak jego 32-bitowy odpowiednik. Dodatkowo, badania ujawniły, że podczas tworzenia tej wersji cyberprzestępcy nie ustrzegli się błędów – niektóre atakowane 64-bitowe procesy przestają funkcjonować po tym, jak nowy ZeuS zmodyfikuje je swoim szkodliwym kodem. Eksperci z Kaspersky Lab nie zauważyli także, by użytkownicy masowo zaczęli się przesiadać na 64-bitowe wersje przeglądarek internetowych. Z danych firmy wynika, że z 64-bitowej wersji Internet Explorera korzysta mniej niż 0,01 proc. użytkowników. Skoro zatem stworzenie 64-bitowej wersji ZeuSa wiązało się z problemami technicznymi, a do tego tak naprawdę nie jest on cyberprzestępcom potrzebny, postawione powyżej pytanie o zasadność takiego przedsięwzięcia nabiera jeszcze większego sensu.
Tor – anonimowa komunikacja z cyberprzestępcami kontrolującymi ZeuSa
Szczegółowe badania wykazały, że wersja 64-bitowa ZeuSa wykorzystuje do komunikacji z cyberprzestępcami anonimową sieć Tor, która uniemożliwia analizowanie ruchu sieciowego i w konsekwencji zapewnia użytkownikom prawie anonimowy dostęp do zasobów internetu. Kod szkodnika zawiera plik wykonywalny tor.exe, który uruchamiany jest w sposób pośredni – poprzez podszycie tej aplikacji pod jeden z procesów systemowych. W ten sposób użytkownik nie zauważy obecności Tora w swoim systemie – nawet na liście uruchomionych procesów. Wynika z tego, że nowa wersja ZeuSa jest w stanie całkowicie samodzielnie zapewnić sobie anonimową komunikację z kontrolującymi ją cyberprzestępcami.
– Niezależnie od intencji cyberprzestępców, którzy stworzyli nową wersję ZeuSa – czy jest to trik marketingowy, czy ewolucja na potrzeby przyszłych wersji – w końcu istnieje w pełni 64-bitowy ZeuS i można powiedzieć, że został wykonany nowy krok milowy w ewolucji tego szkodliwego programu – komentuje Dmitrij Tarakanow, ekspert z Kaspersky Lab.