Новый обнаруженный вариант банковского троянца Zeus использует для своей дистрибуции такой сравнительное экзотический способ распространения, как стеганография или, проще говоря, код Zeus встраивается в байт-код графического файла и предстает с точки зрения пользователя, как обычный файл фотографии. Напомним, что Zeus – это один из самых известных кодов для кражи банковских реквизитов с целью получения контроля над системами онлайн-банкинга.
Новый вариант получил название ZeusVM, он скачивает конфигурационный файл, содержащий список банковских доменов, с которыми вредонос работает, осуществляя свою противозаконную деятельность. Жером Сегура, старший специалист по безопасности французской компании Malwarebytes, говорит, что ZeusVM использует JPG-файлы для собственной маскировки и отсылает краденные данные на серверы тех же сетей, что и прежние варианты Zeus. Это позволяет говорить о том, что за новым вариантом вредоноса стоят прежние разработчики.
По его словам, принцип стенографии давно использовался вредоносным софтом, дабы повысить вероятность сокрытия вредоносного кода от антивирусных сканеров. “С точки зрения веб-мастера, изображения, особенно те, что выполняются локально, выглядят безопасными”, – говорит Сегура. Вычислить наличие вредоноса можно только путем сравнения размеров “чистой” и “вредоносной” картинки или сравнения в режиме bitmap. Данные Zeus в байткоде закодированы при помощи алгоритмов RC4 и XOR. В первую очередь Zeus интересуется такими онлайн-банкингами, как Deutsche Bank, Wells Fargo и Barclays. (Malwarebytes/NovostIT)