A Zeus trójai a megjelenése óta rengeteg kárt okozott a felhasználóknak, vállalatoknak, miközben a kiberbűnözést jelentős anyagi forrásokhoz juttatta. A Zeus meglehetősen sokáig a csalók egyik kedvenc, a feketepiacon - sok esetben nem is olcsón - beszerezhető eszköze volt. Tavaly azonban egy jelentős változás állt be a Zeus fejlesztésébe, amikor a trójai forráskódja - vagy legalábbis annak meghatározó elemei - kiszivárogtak az internetre. Ezt követően a kártékony programról némileg kevesebbet lehetett hallani, mígnem a nyár folyamán egyes biztonsági kutatók arra figyeltek fel, hogy az adatlopásra alkalmas programok egy másik híres képviselője, a SpyEye trójai kísértetiesen hasonló funkciókkal bővült, mint amikkel korábban a Zeus is rendelkezett. Aztán augusztusban a Kaspersky Lab arról számolt be, hogy a terjeszkedő Ice IX nevű botnet nagyon erősen alapoz a Zeus forráskódjában rejlő lehetőségekre.

Megvan az utód

Miközben a SpyEye folyamatosan újabb és újabb variánsok formájában jelent meg, addig a Zeus némileg háttérbe szorult. Január elején azonban nem várt események történtek. Az FBI arra hívta fel a figyelmet, hogy egy Gameover nevű trójai első változatai igen kifinomult technikákat alkalmaznak, és az első vizsgálatok szerint az új trójai a Zeus következő verziójának előfutára lehet. A kártékony programot elsősorban elektronikus levelekben sikerült kimutatni.

„A Gameover a Zeus fejlesztőjének legújabb és eddigi legjelentősebb forráskódjára épül. A trójai új funkciói várhatóan a Zeus 3-as verziójában is elérhetővé válnak, amely jelenleg még béta állapotban van” - mondta Don Jackson, a Dell SecureWorks egyik biztonsági igazgatója. Majd hozzátette, hogy a Gameover olyan, a korábbiaknál veszélyesebb funkciókkal rendelkezik, amelyek vélhetőleg egyedi fejlesztési igények alapján valósultak meg.

Változó piaci hozzáállás – csak a jól fizető kuncsaft marad

Jackson úgy látja, hogy a Zeus fejlesztői a forráskód internetre való kikerülése után változtattak az addigi stratégiájukon. Míg korábban igyekeztek minél több ügyfelet szerezni az internetes feketepiacon, addig könnyen elképzelhető, hogy napjainkban már csak 3-4 nagyobb ügyféllel rendelkeznek. Azonban az igazi nagy halakat tartották meg maguknak, akiknek az egyedi igényeit igyekeznek kielégíteni. Vélhetőleg jelentős összegekért fejlesztenek és biztosítanak támogatást. Eközben pedig erőteljesen koncentrálnak a Zeus következő verziójára.

Mennyiben nyújt újat a Gameover

A Gameover trójai több szempontból is változott az elődjeihez képest. Az új funkciói elsősorban az elosztott szolgáltatásmegtagadási (DDoS) támadások támogatásában, a web injection alapú támadások elősegítésében és a botnetek kapcsán nyilvánulnak meg. A web injection révén a csalók különféle kódokat illeszthetnek be akár banki weboldalakba is, amelyekkel megtéveszthetik a felhasználókat. Például hamis webes űrlapokat jeleníthetnek meg, és arra vehetik rá az óvatlan banki ügyfeleket, hogy adják meg a bizalmas adataikat.

A Gameover - hasonlóan a Zeus-hoz – támogatja botnetek kiépítést, sőt e tekintetben is fejlődött. Elsősorban a botnetek irányítását ellátó vezérlőszerverek kiiktatásával szemben lett a korábbiaknál immunisabb. Jackson szerint a Gameover P2P alapú frissítési technikákat alkalmaz arra az esetre, ha egy vezérlőszervert a hatóságok leállítanak. Ezáltal a terjesztői képesek elérni, hogy a fertőzött számítógépek egy másik kiszolgálóval vegyék fel a kapcsolatot, és a továbbiakban is frissíthetők maradjanak.

A Gameover jelenleg még nem terjed számottevő mértékben, de mivel a Zeus következő verziójának alapja lehet, ezért a jövőben még számos kellemetlen meglepetést okozhat.

-vége-

A hír megjelenését a Biztonságportál támogatta.