Volgens het beveiligingsbedrijf Trusteer is de code die zij gevonden hebben specifiek aanwezig bij bepaalde ZeuS clients versie 2.0. Een geïnfecteerde machine neemt screenshots op momenten dat er met de muis geklikt wordt en er '/citrix/' in de adresbalk van de browser staat.

Citrix-accounts

De onderzoekers van Trusteer denken dat de code een poging is van een ZeuS botnetherder om account-gegevens te stelen van Citrix Access Gateways. Er wordt gepoogd om de beveiliging te omzeilen die ervoor zorgt dat ‘normale’ keylogging tools van cybercriminelen niet meer werken. Die beveiliging bestaat uit het intikken van logingegevens op een virtueel toetsenbord. Maar met deze code wordt elke click op een teken dus als plaatje verstuurd naar de cybercriminelen en kunnen ze de accountgegevens achterhalen.

Bankgegevens zijn zó oktober 2010

Volgens Trusteer toont de gevonden code aan dat ZeuS specifieke bedrijven actief aanvalt en dan vooral remote access connecties op beveiligde netwerken. De beveiliger denkt dat fraudeurs inmiddels verder kijken dan alleen bankgegevens, waar ZeuS normaal gesproken voor gebruikt wordt.

Trusteer adviseert beheerders om VPN systemen goed te beveiligen door de toegang te beperken tot vertrouwde applicaties en gebruikers en best practises toe te passen, zoals het regelmatig updaten van de software en beveiligingstools en het inlichten van gebruikers.

ZeuS rules

De ZeuS trojan is nog altijd ontzettend populair, omdat hij erg makkelijk te beheren is en oudere versies voor lage prijzen gekocht kunnen worden. De laatste tijd werd het echter te heet onder de voeten voor veel botnetherders en naar verluidt zelfs de schrijver, vanwege de vele arrestaties in meerdere landen. De malware auteur zou gestopt zijn en de ZeuS code aan de SpyEye botnet-programmeur hebben gegeven. Het vermoeden is desondanks dat ZeuS in de huidige vorm nog lange tijd gewoon gebruikt zal worden.

Bron: Techworld