Мгновенный обмен сообщениями ускоряет защиту от кражи данных

Одной из наиболее сложных вредоносных программ в обращении стало обновление, позволяющее киберпреступникам действовать еще быстрее после того, как они украли данные с ПК.

По данным охранной компании RSA, Zeus Троянец - обвиняемый в том, что он предоставил бесчисленные интернет-банкинг - теперь использует компонент обмена мгновенными сообщениями, который немедленно предупреждает хакеров о том, что они захватили чьи-то удостоверения подлинности. Это позволяет быстро использовать информацию, чувствительную к времени, например, одноразовые пароли, которые часто используются в онлайн-банке.

Зевс не первый вредоносный код, чтобы использовать обмен мгновенными сообщениями, отмечает RSA в своем онлайн-отчете о мошенничестве за август, Еще одна программа для кражи паролей под названием Sinowal была также использована в 2008 году.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

После того как на ПК Zeus отправляет пароли и пароли на удаленный сервер, который хакер должен получить и выполнить. RSA обнаружил, что у нескольких вариантов Zeus есть модуль обмена мгновенными сообщениями Jabber. Проект Jabber, а также другие сервисы, такие как функция Google Gmail Mail, используют XMPP (Extensible Messaging and Presence Protocol), открытый стандарт обмена мгновенными сообщениями.

Хакеры создали две учетные записи Jabber, одна из которых отправлять информацию и получать. Когда Зевс получает логин, он отправляет их на удаленный сервер. Затем модуль Jabber ищет учетные данные для конкретных финансовых учреждений, а затем передает информацию хакеру мгновенным сообщением, сообщает RSA.

Число компьютеров в США, зараженных Zeus, было оценено в прошлом месяце компанией по безопасности Damballa at около 3,6 миллиона компьютеров, что делает его одним из самых распространенных вредоносных программ и очень большой бот-сет.

Пользователи могут быть заражены, если они не установили последние исправления безопасности на своем компьютере и не посетили веб-сайт, предназначенный для автоматически охотиться за уязвимостями программного обеспечения, а затем доставлять вредоносное ПО. Зевс также может быть непреднамеренно установлен на компьютере, если человек обманут в открытии вложения электронной почты, содержащего Зевса.

Зевс, который, как полагают, является продуктом российского хакера, который идет по имени AZ, продается в подпольные форумы для начинающих киберпреступников, по словам другой охранной компании Secureworks. Он может быть настроен в соответствии с потребностями покупателей. Например, Zeus может быть закодирован только для регистрации данных входа в систему для определенного определенного списка веб-сайтов.

«Простота использования инструментария Zeus для защиты персональных пользователей от создания собственных специализированных троянских бот-сетей означает что он стал предпочтительным инструментарием для преступников начального уровня, чтобы участвовать в подпольной экономике », - говорит Питер Куган из Symantec, пишущий в одном из блогов компании. «Более высокая доступность этого инструментария на подпольных форумах в последнее время также привела к увеличению его использования».

Зевс некоторое время находится на радаре профессионалов в области безопасности, а одна группа управляет веб-сайтом, который отслеживает работу Зевса и серверы управления и управления, которые могут выдавать инструкции для зараженных ПК.

Теперь ZeuS Tracker считает 802 вредоносных хостов с Zeus. Организация также публикует список блоков, который администраторы могут использовать, чтобы люди в своей сети не имели доступа к опасным доменам, связанным с Зевсом.