Sau một khoảng thời gian không hoạt động từ tháng giêng, Zeus biến thể đã tăng từ đầu tháng hai và tiếp tục hoạt động cho đến nay, đạt đỉnh điểm vào giữa tháng 5, Jay Yaneza, một thành viên của nhóm hỗ trợ kỹ thuật của Trend Micro, đã viết trên blog tình báo Trendlabs. Các biến thể có các hoạt động khác nhau khi nhiễm vào máy tính, nhưng mục đích chung của chúng vẫn là đánh cắp các thông tin đăng nhập của các trang web tài chính và các trang web nhạy cảm khác.
Zeus về cơ bản đã diệu xuống vào năm ngoái và bắt đầu lại ở năm nay sau khi Microsoft tiến hành thu hồi lại một số máy chủ kiểm soát các lệnh của Zeus và kiểm soát máy chủ vào tháng 3/2012. Vào thời điểm này, Microsoft thừa nhận rằng các chiến dịch chống lại Zeus không phải là một nỗ lực gỡ bỏ hoàn toàn vì có nhiều máy chủ C&C vẫn đang hoạt động. Mặc dù Microsoftlàm gián đoạn các hoạt động và làm tê liệt các thành phần chính của cơ sở hạ tầng để làm cho “Zues” không còn phổ biến như trước kia nữa.
“Các mối đe dọa cũ giống như ZBOT có thể trở lại bất cứ lúc nào bởi vì những lợi nhuận mang lại cho tội phạm mạng từ chúng” Yaneza cho biết.
Zeus là một Trojan được thiết kế để ăn cắp thông tin đăng nhập trực tuyến và các trang web nhạy cảm từ người sử dụng, chẳng hạn như ngân hàng trực tuyến và tài khoản email. Zeus cũng đánh cắp các thông tin cá nhân. Các biến thể trước đó đã lưu các dữ liệu trộm cắp và cấu hình bên trong các tập tin trong thư mục hệ thống của Windows và chỉnh sửa các tập tin hosts vì vậy người sử dụng không thể truy cập vào các trang liên quan đến bảo mật. Các tập tin đã được chỉnh sửa có chứa tên của các tổ chức tài chính chưa các phần mềm độc hại trong phần tìm kiếm của trình duyệt người sử dụng.
"Tác nhân độc hại có thể thay đổi danh sách các trang web mà họ muốn giám sát trên hệ thống bị ảnh hưởng," Yaneza cho biết.
Sự khác nhau của các biến thể
Các biến thể mới tạo ra hai thư mục có tên ngẫu nhiên trong thư mục người dùng, một cho phần mềm độc hại và một cho dữ liệu mã hóa. Các Trojans Zeus mới nhất chủ yếu là “ Citadel hoặc những biến thể của Game Over,” theo Yaneza. Cả hai biến thể này gởi DNS truy vấn ngẫu nhiên đến các tên miền để tìm kiếm các dòng lệnh và kiểm soát máy chủ. Máy bị nhiễm nhận được một danh sách các trang mà các trang đó được theo dỡi từ máy chủ C&C.
“Rao bán các thông tin ngân hàng bị đánh cắp và thông tin cá nhân từ người sử dụng là hoạt động kinh doanh sinh lời trong thị trường ngầm,” Yaneza cho biết.
Người dùng cần phải cẩn thận khi mở các thư điện tử và nhấp vào các liên kết. Họ nên đánh dấu các trang web đáng tin cậy để tránh tình trạng truy cập vào các trang web độc hại khi gõ vào thanh địa chỉ URL. Máy tính cũng nên cập nhật liên tục các bản vá mới nhất cho hệ thống, phần mềm phổ biến, và các sản phẩm bảo mật.
PCMAG.com