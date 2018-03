Zeus Trojan geeft virusscanners het nakijken



Eén van de gevaarlijkste botnets ter wereld kan ongestoord zijn gang gaan, aangezien veel virusscanners niet in staat zijn de malware te detecteren. Trusteer onderzocht meer dan 10.000 gebruikers die met de Zeus Trojan besmet waren. Zeus, ook bekend als Zbot, WSNPOEM, NTOS en PRG, is de meest wijdverspreide financiële malware ter wereld. In Amerika alleen al zijn er meer dan 3,6 miljoen machines mee besmet, wat neerkomt op 1% van alle PC's in de VS.



Zeus infecteert computers en wacht tot gebruikers op hun online bankrekening inloggen, om vervolgens de inloggegevens in real-time te stelen. Het kan ook in de browser legitieme banksites aanpassen, om zo om extra gegevens als wachtwoorden, antwoorden op geheime vragen en pincodes te vragen.



Zelfs gebruikers met een up-to-date virusscanner raken toch met de malware besmet. Van de geïnfecteerde machines gebruikte 31% geen anti-virus software, was bij 14% de signatures niet up-to-date en draaide 55% de meest actuele versie van de virusscanner. Volgens Trusteer wisten virusscanners 77% van de Zeus infecties niet te herkennen.



"Toen we de effectiviteit van anti-virus producten in het wild tegen Zeus gingen testen, hadden we geen idee wat voor resultaten we zouden krijgen", zegt CTO Amit Klein. "De ontdekking dat bijgewerkte virusscanners slechts 23% van de Zeus infecties blokkeren zijn verontrustend. Dit is slecht nieuws voor consumenten en banken, aangezien de meeste Zeus infecties onopgemerkt blijven."



Begin juli werd bekend dat de Zeus Trojan bankrekeningen via de internetverbinding van zijn slachtoffer plundert of de inloggegevens via instant messaging software meteen doorstuurt naar de aanvallers. RSA laat nu weten dat de criminelen hiervoor Jabber gebruiken. De virusschrijvers hebben in dit geval de Jabber IM module direct in het Trojaanse paard verwerkt. Ze gebruiken hiervoor twee accounts, één voor het versturen van de gestolen inloggegevens en één voor het ontvangen ervan. Jabber is erg geliefd onder cybercriminelen, zo gebruikt de Sinowal bende de IM-software al sinds vorig jaar.



Voorheen stuurde Zeus gestolen informatie naar een "drop" server. Daar waren de gegevens niet altijd direct benaderbaar voor de crimineel in kwestie, een probleem wat met Instant Messaging omzeild wordt. Een ander voordeel is dat de criminelen zo weten wanneer een slachtoffer online en aan het bankieren is. Men kan dan direct op de computer van het slachtoffer inloggen en zo andere overschrijvingen doen. Deze man-in-the-middle en man-in-the-browser technieken worden steeds populairder, zo merkt RSA op.



Zeus is volgens Symantec inmiddels het grootste botnet van het moment, mede veroorzaakt door het gemak waarmee de Zeus toolkit werkt en wordt aangeboden. Ondanks het feit dat de software illegaal is, wordt die openlijk op allerlei fora besproken en verkocht. Het aantal infecties is sinds februari weer aan het stijgen en bereikte in juli een hoogtepunt. Dat geldt ook voor het aantal unieke Zeus exemplaren, dat er inmiddels meer dan 70.000 zijn. Verder zijn zeker 154.000 computers met de malware besmet, maar het werkelijke aantal ligt waarschijnlijk veel hoger. Twee procent van alle met Zeus geïnfecteerde machines staat in Nederland.