Открыть сервис

ZeuS

ZeuS (также известный как Zbot, Zeus Bot) — это семейство вредоносных программ (троянов), предназначенных для кражи конфиденциальной информации, в первую очередь банковских реквизитов и учётных данных. Относится к классу ботнетов и банковских троянов. Впервые обнаружен в 2007 году, наибольшую активность проявлял в конце 2000-х — начале 2010-х годов. Исходный код ZeuS частично был опубликован в 2011 году, что привело к появлению многочисленных модификаций и вариантов.

История

Появление и ранние версии (2007—2009)

Первые упоминания о ZeuS относятся к 2007 году. Вредоносная программа распространялась преимущественно через фишинговые письма, заражённые веб-сайты и эксплойты. Основной целью был перехват данных, вводимых пользователем на веб-страницах банков и платёжных систем, а также кража файлов cookie и сертификатов. В 2008—2009 годах ZeuS стал одним из самых распространённых банковских троянов, поразив миллионы компьютеров по всему миру. По оценкам аналитиков, ущерб от его деятельности составил десятки миллионов долларов.

Расцвет и развитие (2009—2011)

В 2009—2010 годах появились усовершенствованные версии ZeuS, включавшие модули для обхода систем двухфакторной аутентификации (например, перехват одноразовых паролей, генерируемых токенами или отправляемых по SMS). Вредоносная программа активно использовалась для атак на банки в США, Европе и России. В 2010 году была зафиксирована крупная атака на банк в Великобритании, в результате которой было похищено около 1 миллиона фунтов стерлингов. В этот период ZeuS часто распространялся в комплекте с другими вредоносными программами, например, с трояном SpyEye.

Утечка исходного кода и последствия (2011—2012)

В мае 2011 года исходный код ZeuS был опубликован в открытом доступе. Это привело к резкому росту числа модификаций и вариантов вредоносной программы, созданных на его основе. Появились такие версии, как Gameover ZeuS (P2P-ботнет), Citadel, Ice IX и другие. Утечка кода также упростила создание новых вредоносных программ для менее опытных киберпреступников. В 2012—2013 годах активность оригинального ZeuS снизилась, однако его наследники продолжали действовать.

Современное состояние

В настоящее время оригинальный ZeuS считается устаревшим, однако его модификации, такие как Gameover ZeuS (ликвидирован в 2014 году в результате международной полицейской операции), продолжают представлять угрозу. Некоторые современные вредоносные программы заимствуют код и методы ZeuS. Антивирусные компании продолжают обнаруживать новые варианты, основанные на его исходном коде.

Устройство и принцип работы

Архитектура

ZeuS построен по клиент-серверной архитектуре. Основные компоненты:

  • Бот (клиентская часть) — вредоносная программа, устанавливаемая на компьютер жертвы. Отвечает за сбор данных, перехват трафика и выполнение команд.
  • Командный центр (C&C, Command and Control)сервер, управляющий ботнетом. Через него злоумышленники отправляют команды ботам и получают собранную информацию.
  • Панель управления (Web Panel) — веб-интерфейс, через который оператор ботнета управляет его работой, просматривает статистику и настраивает параметры.

Способы заражения

Основные методы распространения ZeuS:

  • Фишинговые письма с вредоносными вложениями (например, PDF или DOC с макросами) или ссылками на заражённые сайты.
  • Drive-by downloads — заражение при посещении скомпрометированных веб-сайтов через уязвимости в браузере или плагинах (например, Adobe Flash, Java).
  • Использование эксплойтов для удалённого выполнения кода.
  • Распространение через пиратское программное обеспечение и файлообменные сети.

Функциональность

После установки на компьютер ZeuS выполняет следующие действия:

  • Перехват данных (Web injects) — внедрение в веб-страницы банков, платёжных систем и других сайтов дополнительных полей для ввода данных (например, номера карты, CVV-кода, PIN-кода). Это позволяет обходить двухфакторную аутентификацию.
  • Кейлоггинг (Keylogging)запись всех нажатий клавиш на клавиатуре.
  • Формграббинг (Form grabbing) — перехват данных, вводимых в формы на веб-страницах, до их отправки на сервер.
  • Кража файлов cookie и сертификатов — получение доступа к сессиям аутентификации.
  • Сбор системной информации — определение версии операционной системы, установленного антивируса, браузера и других программ.
  • Загрузка дополнительных модулей — возможность установки другого вредоносного ПО (например, ransomware, spyware).
  • Сокрытие активности — использование методов руткитов для маскировки своего присутствия в системе.

Модификации и варианты

Gameover ZeuS (P2P ZeuS)

Одна из наиболее известных модификаций, использующая пиринговую (P2P) сеть для связи между ботами и командным центром. Это усложнило её обнаружение и ликвидацию. Gameover ZeuS был специализирован на краже банковских данных и распространении через спам-ботнет Cutwail. В 2014 году в результате международной операции «Tovar» была ликвидирована его инфраструктура, а оператор Евгений Богачёв (предположительно, гражданин России) был объявлен в розыск ФБР.

Citadel

Вариант ZeuS, появившийся в 2012 году. Отличался улучшенной защитой от обнаружения, модульной архитектурой и возможностью кражи данных из криптовалютных кошельков. Citadel активно использовался для атак на банки и платёжные системы. В 2013 году была проведена операция по его ликвидации, однако его код продолжал использоваться.

Ice IX

Модификация, ориентированная на атаки на российские банки. Отличалась использованием сложных методов шифрования и обфускации кода.

Другие варианты

На основе кода ZeuS были созданы десятки других вредоносных программ, включая KINS, Murofet и другие. Многие из них были адаптированы для атак на конкретные регионы или финансовые учреждения.

Применение и последствия

Цели атак

Основные цели ZeuS — финансовые учреждения (банки, платёжные системы, онлайн-биржи), а также любые сервисы, требующие аутентификации (электронная почта, социальные сети, корпоративные системы). Вредоносная программа также использовалась для кражи учётных данных от игровых аккаунтов и криптовалютных кошельков.

Ущерб

По оценкам экспертов, общий ущерб от деятельности ZeuS и его модификаций составил более 100 миллионов долларов. Жертвами становились как частные лица, так и крупные компании. В 2010 году была зафиксирована атака на банк в США, в результате которой было похищено около 3 миллионов долларов. В России ZeuS активно использовался для атак на банки и платёжные системы в 2010—2012 годах.

Методы противодействия

Для защиты от ZeuS и его вариантов применяются:

  • Использование современных антивирусных программ и систем обнаружения вторжений.
  • Регулярное обновление операционной системы и программного обеспечения.
  • Обучение пользователей правилам безопасности (не открывать подозрительные письма, не переходить по сомнительным ссылкам).
  • Использование двухфакторной аутентификации, особенно для финансовых операций.
  • Применение аппаратных токенов и одноразовых паролей, не передаваемых через веб-интерфейс.
  • Мониторинг сетевого трафика на предмет аномалий, характерных для ботнетов.

Интересные факты

  • Исходный код ZeuS был написан на языке C++ и включал в себя модули для работы с различными протоколами (HTTP, HTTPS, FTP).
  • В 2010 году была обнаружена версия ZeuS, которая могла перехватывать данные из мобильных приложений банков, используя эмуляцию браузера.
  • Операторы ZeuS часто использовали для связи с командным центром зашифрованные каналы и динамические доменные имена.
  • В 2011 году была арестована группа лиц, подозревавшихся в распространении ZeuS в Нидерландах.

Источники

  • Отчёты антивирусных компаний (Symantec, Kaspersky Lab, McAfee) за 2007—2014 годы.
  • Материалы расследований ФБР и Европола по делу Gameover ZeuS.
  • Публикации в журналах «Хакер», «Компьютерра» и других специализированных изданиях.
  • Документация по вредоносному ПО из открытых источников (VX Heaven, Malware Analysis).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →