Eine weitere ZeuS-Variante schlägt zu

Originalartikel von Jasper Manuel, Threat Response Engineer

Trend Micro ist in den letzten Monaten schon des Öfteren auf Malware gestoßen, wie etwa Ice IX und ZeuS 2.3.2.0, die aus dem im Frühjahr öffentlich gewordenen ZeuS-Code hervorgegangen ist. Nun gibt es seit Ende September eine neue Variante, die anscheinend auch auf dem ZeuS-Code beruht. Obwohl es keine Referenz auf eine Versionsnummer gibt, gehen die Sicherheitsforscher davon aus, dass sie von denselben Kriminellen entwickelt wurde, die auch hinter LICAT stehen.

Die derzeitigen Angriffe zielen momentan auf australische Nutzer, doch lässt der Inhalt der entschlüsselten Konfigurationsdatei darauf schließen, dass der Schädling auch in einer weltweiten Kampagne in den USA, Europa und sogar Asien genutzt werden kann.

Die neue Version (TSPY_ZBOT.SMQH) verbreitet sich über Spam, der vorgibt, vom ATO (Australian Taxation Office) zu kommen. Die infizierte Nachricht enthält einen bösartigen Link, der auf eine infizierte Website zeigt. Diese wiederum bedient das BlackHole Exploit Kit, das dann diese neue ZeuS-Variante herunterlädt.

Anders als frühere ZeuS-Versionen, die ihre Konfigurationsdatei über http herunterladen, öffnet die neue einen beliebigen UDP-Port und nimmt Verbindung zu einer hart codierten Liste mit IP-Adressen auf, um die entsprechende Datei herunter zu laden. Weitere technische Details zur Vorgehensweise gibt es hier.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*