31/01/2011
Исследователи обнаружили первый образец смеси двух троянов, используемых в киберпреступлениях – ZeuS и SpyEye.

Сообщения на подпольных русских форумах сообщали, что Slavik/Monstr, автор ZeuS, "уходит в отставку" из мира киберпреступлений и передает код ZeuS создателю SpyEye Gribodemon/Harderman. ZeuS долгое время являлся основной причиной банковских краж, в то время, как SpyEye – более новое и агрессивное явление на сцене киберпреступлений. И ZeuS, и SpyEye продавались за деньги как средства создания целевых троянов, обычно изготавливаемых с целью воровства персональных данных для входа в банковские системы с зараженных компьютеров.

Trend Micro сообщает, что первые плоды смешанного кода, SpyEye версии 1.3.05, демонстрирует изощренность этих инструментов кибератаки. Вирус включает в себя возможность внедрения в сайты, получения скриншотов и использования дополнений. Главный функционал также включает код, созданный для того, чтобы обойти систему безопасности Trusteer Rapport – дополнения по обеспечению безопасности, предоставляемого клиентам многих банков с целью защиты от банковских троянов. Последняя из упомянутых функций показывает, что киберпреступники в очередной раз подняли планку в ответ на разработки защитников системы безопасности.

Плагины включают в себя возможность снабжать пользователей зараженных компьютеров фальшивыми страницами и улучшенные атаки против пользователей Firefox. "Обычная комплектация SpyEye только крадет данные из зашифрованного хранилища Windows", - пишет Лусиф Харуни, главный исследователь угроз компании Trend Micro. "А Firefox использует свою папку для хранения данных, из которой плагин ffcertgrabber и ворует данные".

Инструмент для киберпреступлений также включает развитые возможности по воровству данных кредитных карт, которые действуют путем "анализа POST-запросов, сделанных пользователем и их проверкой по алгоритму Luhn", объясняет Trend Micro.

Плагины для воровства данных кредитных карт и опция обхода Trusteer Rapport – главные особенности нового и более совершенного SpyEye, который уже встречается в Сети. Trend Micro сообщает, что два "живых" сервера используют новую версию malware.