T
数か月にわたる憶測の後、2 つの高度なオンライン バンキング マルウェアの組み合わせの噂が本格的に進行しているようです。
SeculertのCTO兼共同設立者であるアビブ・ラフ氏は、ZeusとSpyEyeの両方の要素を持つマルウェアのベータ版と思われるものが、現在、少数の人々の間で出回っていると述べた。
Seculertは、感染したコンピュータを管理するために2つのバージョンのコントロールパネルを備えた新しいマルウェアのスクリーンショットを公開しました。1つはZeusのコントロールパネルに似ており、もう1つはSpyEyeのコントロールパネルに似ています。どちらのコントロールパネルも、同じバックエンドのコマンド&コントロールサーバーに接続されているとのことです。
ラフ氏は、コントロールパネルを2つ用意した理由について、「犯罪者の多くがZeus管理パネルのルックアンドフィールに慣れているため、新バージョンへの移行が容易になるからだ」と述べた。
トレンドマイクロやマカフィーなどのベンダーや、セキュリティライターのブライアン・クレブス氏は以前から、Zeus を書いたロシア人ハッカーがハッキング業界から撤退するという噂について書いてきた。
ZeusのソースコードがSpyEyeの作者に渡されたという噂があり、2つのマルウェアが統合されるのではないかと予想されていました。その証拠が今になって明らかになったとRaff氏は述べています。
これは銀行にとって良い兆候ではない。セキュリティソフトウェアを回避し、オンラインバンキングの認証情報を取得し、即座に取引を実行するように設計されたZeusは、単なる迷惑以上の存在となっている。
Zeusは、複数の高度に組織化された犯罪組織によって、被害者の口座から資金を移動させるために利用されてきました。昨年、米国と英国で数十人が逮捕され、これらの犯罪組織のマネーミュール(資金運び屋)として告発されました。
この新しいマルウェアには、少なくとも2つの新機能が搭載されています。その1つは、セキュリティベンダーTrusteerのブラウザアドオンであるRapportを無効化するように設計されています。Rapportは、クライアントと銀行サーバー間の接続を保護し、中間者攻撃を阻止することを目的としています。Raff氏によると、以前はRapport対策機能はZeusの別モジュールでしたが、現在はZeusに組み込まれています。
マルウェア作成者は、リモート デスクトップ プロトコルを使用して被害者のコンピュータにリモート接続する方法も追加しました。リモート デスクトップ プロトコルは、リモート ユーザーがコマンド ラインではなく通常の Windows グラフィカル インターフェイスを使用してコンピュータにアクセスできるようにする Microsoft プロトコルです。
ラフ氏によると、今のところ新バージョンを使用しているサイバー犯罪者はごく少数のようだ。Seculertがこのマルウェアをどのように入手したか、またマルウェア市場でどれくらいの価格で販売されているかについては、ラフ氏は明言を避けた。
「まだ開発中のようで、バグ修正がほぼ毎日リリースされています」とラフ氏は語った。
