Den beryktede Zeus-trojaneren har kapret millioner av pc-er i botnett og rundstjålet nettbankkunder siden 2007, da den første gang dukket opp.
Skadevaren har vært solgt som en nettjeneste i underverden. Kildekoden lekket ut noen år tilbake og det finnes utallige varianter, både kloner og avarter, inkludert angrep spesielt rettet mot Norge.
Nå er det funnet en ekstra slu Zeus-utgave som tar i bruk steganografi, en form for kryptering, for å skjule seg og gjøre infeksjon vanskeligere å avsløre.
Steganografi er en teknikk for å kamuflere blant annet tekst, som oftest i bilder. Også bilder kan gjemmes i bilder slik at de ikke synes for de som ikke vet hvordan innholdet hentes tilbake.
ZeusVM, som den nye utgaven er døpt, tar i bruk JPG-bilder for å laste ned sin konfigurasjonsfil. Dette er en sentral komponent med instruksjoner for hvilke nettbanker og domener skadevaren skal rettes mot.
Det forklarer sikkerhetsekspert Jerome Segura i Malwarebytes i et blogginnlegg. Han gir en fransk kollega, som blogger under pseudonymet Xylitol æren for først å ha oppdaget tilfellet.
– Ved å skjule ondsinnet kode på denne måten kan det være mulig å unngå signaturbasert snokvern (Intrusion Detection Systems, IDS) og selv antivirus. For en webansvarlig vil slike bilder fremstå som harmløse, skriver Segura.
I dette tilfellet skal de manipulerte bildefilene tilsynelatende ha fremstått som uskadede, og dermed kunne vises på vanlig måte, selv om de nødvendigvis var en del større enn originalbildet.
Les også:
- [06.06.2013] Microsoft tok ned tusen botnett
- [08.04.2013] Politiaksjon mot nettbande
- [06.12.2012] Rundstjal bankkunder
- [29.08.2012] Teknisk Ukeblad annonse-hacket
- [27.06.2012] Automatiserte angrep tapper nettbanker
- [26.03.2012] Slo ut mange hundre botnett på en gang
- [23.03.2012] Ny Zeus-trojaner rettes mot Norge
- [09.01.2012] Frykter nettbanktrojaner i Norge
- [30.06.2011] Forskere fant «uovervinnelig» botnett
- [28.09.2010] Banktrojaner tar også over mobilen
