Schließen sich ZeuS und SpyEye zusammen?

Originalartikel von Kevin Stevens (Senior Threat Researcher bei Trend Micro)

Ende Oktober hieß es, die Rivalität zwischen den ZeuS- und SpyEye-Schadcode-Familien endete mit einem Zusammenschluss der beiden. Die ZeuS-Autoren Slavik und Monstr seien untergetaucht und hätten den Quellcode ihres Toolkits dem SpyEye-Autor Gribodemon oder Hardeman übergeben. Nach diesen Nachrichten gab es verschiedene Spekulationen über die weitere Entwicklung, und viele Sicherheitsforscher gingen davon aus, dass eine neue Malware-Familie die Funktionen der beiden früheren Familien vereinen werde.

Die Untergrund-Recherche der Trend Micro-Forscher ergab, dass die Entwicklung von SpyEye eingestellt wurde. Eine Funktion von SpyEye wird in künftige Versionen von ZeuS Eingang finden. Es geht um die Möglichkeit in SpyEye, Plugins hinzuzufügen, nachdem das Hauptwerkzeug gekauft wurde. So lässt sich später die Funktionalität erweitern, ohne dass die neuen Eigenschaften Teil der „Basis“-Funktionalität werden. ZeuS nutzte bislang Module, die nach einem Kauf des Toolkits eingepasst wurden. Neuere ZeuS-Versionen werden nun Plugins heranziehen, so wie es SpyEye derzeit tut. Das bedeutet, dass ein Cyberkrimineller lediglich ein Plugin kaufen muss, wenn er neue Funktionen haben will. Früher musste er dazu eine neue Version kaufen.

Dennoch bleiben SpyEye und ZeuS für den Moment separate Malware-Familien. Laut Informationen des Trend Micro Smart Protection Network steigt die von SpyEye ausgehende Gefahr, denn die Zahl der von dieser Malware verursachten Infektionen ist seit Juli dieses Jahres um das Zwanzigfache gestiegen. Weitere Details finden sich auch unter „Offen wie ein Buch: 84 Prozent der Angriffe auf Online-Banking-Kunden sind erfolgreich“.

Auch gibt es Gerüchte darüber, dass der ZeuS-Autor sich nicht wirklich zurückgezogen hat, sondern stattdessen an einer neuen Malware arbeitet (sei es ZeuS oder vollkommen neue Familien), die er in erster Linie an „hochwertige Kunden“ verkaufen will.

Die Sicherheitsindustrie ist auf diese Gefahr vorbereitet. Ein Zeichen dafür ist auch die Tatsache, dass Roman Hüssy, der Administrator des ZeuS Tracker, den SpyEye Tracker gegründet hat, der dieselbe Funktion für SpyEye erfüllt wie ersterer für ZeuS. Dies hilft sowohl den Strafverfolgungsbehörden als auch den Sicherheitsfirmen bei der Untersuchung und Stilllegung von SpyEye C&C Servern. Trend Micro überwacht proaktiv die SpyEye-Bedrohung, um die Anwender zu schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*