Pikaviestit nopeuttavat tietovarkausvaaraa

Yksi monimutkaisimmista haittaohjelmien osista on saanut päivityksen, jonka avulla tietoverkkorikolliset toimivat vieläkin nopeammin tietokoneen tietojen varastamisen jälkeen.

Security company RSA: n mukaan Zeus Troijalainen - syytetty lukemattomien online-pankkitilien mahdollistamiseksi - käyttää nyt pikaviestikomponenttia, joka ilmoittaa hakkerit välittömästi, kun he ovat kaapanneet jonkun todennusoikeudet. Tämä voi mahdollistaa aikaherkkien tietojen nopean käytön kuten esimerkiksi verkkopankkitoiminnan usein käyttämät kertaluonteiset salasanat.

Zeus ei ole ensimmäinen haittaohjelma, joka käyttää pikaviestejä, toteaa RSA: n Online Fraud -raportissaan elokuussa. Toinen salasanasuojausohjelma nimeltä Sinowal todettiin käyttävän sitä myös vuonna 2008.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Kun tietokoneeseen on tullut, Zeus lähettää sisäänkirjautumisen ja salasanan etäpalvelin, jonka hakkeri käyttää ja lajitella. RSA havaitsi, että Zeusin useilla muunnelmilla on Jabber-pikaviestimoduuli. Jabber-projekti - samoin kuin muut palvelut, kuten Googlen G-post chat -toiminto - käyttävät XMPP: tä (Extensible Messaging and Presence Protocol), avoin standardi pikaviesteille.

Hakkereita perustettiin kahdelle Jabber-tilille lähettää tietoja ja vastaanottaa yksi. Kun Zeus saa kirjautumiset, se lähettää ne etäpalvelimelle. Jabber-moduuli etsii sitten valtuutuksia tietyille rahoituslaitoksille ja lähettää sitten tiedot hakkereille pikaviestillä, RSA sanoi.

Zeusin infektoituneita tietokoneita Yhdysvalloissa arvioitiin viime kuussa turvallisuusyhtiön Damballa noin 3,6 miljoonaa tietokonetta, mikä on yksi yleisimpiä haittaohjelmia ja erittäin suuri botnet.

Käyttäjät voivat saada tartunnan, jos he eivät ole asentaneet uusimpia tietoturvapäivityksiä tietokoneeseensa ja käy verkkosivuilla, jotka on suunniteltu hakevat automaattisesti haavoittuvuuksia ja toimittavat haittaohjelmat. Zeus voidaan myös vahingossa asentaa tietokoneeseen, jos henkilöä petetään petosta Zeusia sisältävän sähköpostiliitteen avaamiseen.

Zeus, jonka uskotaan olevan Venäjän hakkeri, jonka nimi on AZ, myydään maanalaisia ​​foorumeita itkuun perustuviin tietoverkkorikollisiin, toisen turva-alan yrityksen Secureworks mukaan. Se voidaan räätälöidä ostajien tarpeiden mukaan. Esimerkiksi Zeus voidaan koodata kirjaamaan vain tietyn luettelon WWW-sivustojen lokitiedot.

"Zeus crimeware -työkalun helppokäyttöisyys yksilöiden luomiseksi omien räätälöityjen Trojan-botnetiensa käyttöön on merkinnyt että siitä on tullut suosituin työkalu aloitteleville rikollisille, jotta he voisivat osallistua maanalaiseen talouteen ", kertoo Symantecin Peter Coogan kirjoittama yksi yhtiön blogeista. "Tämän työkalupaketin saatavuus maanalaisissa foorumeissa myöhässä on myös lisännyt sen käyttöä."

Zeus on ollut jonkin aikaa tietoturva-alan tutkailijoille ja yksi ryhmä ylläpitää WWW-sivustoa, joka seuraa Zeusia infektioita ja komento-ja-ohjauspalvelimia, jotka voivat antaa ohjeita tartunnan saaneille tietokoneille.

ZeuS Tracker laskee nyt 802 haitallista isännää Zeusin kanssa. Organisaatio julkaisee myös estoluettelon, jonka ylläpitäjät voivat käyttää varmistaakseen, että verkossa olevat ihmiset eivät pääse käsiksi vaarallisiin Zeus-verkkotunnuksiin.