Het was alweer even stil rond Zeus, maar nu hebben onderzoekers een nieuwe variant van de beruchte bankingtrojan ontdekt. Die nieuwe variant gebruikt steganografie, dat de toegevoegde data in het fotobestand verbergt zonder het originele bestand te beschadigen.

Jerome Segura van Malwarebytes deed in samenwerking met de Franse onderzoeker Xylitol een speurtocht naar de origine van de Zeus/Zbot-variant. Daarbij werden foto's onderzocht via Google's plaatjeszoekmachine waarbij een besmette foto werd geupload en vervolgens vergeleken met plaatjes die een exacte kopie waren, qua grootte. Segura had direct beet. Het verschil tussen een schoon en een besmet bestand werd duidelijk in de bitmap-modus, waarin te zien was waar de extra data zat in het besmette bestand.

Versleuteld met Base64, RC4 en XOR

Segura beschrijft het hele forensische proces in het decrypten van de extra data uit het fotobestand (dat versleuteld was met Base64, RC4 en XOR) en daaruit komt het blote configuratiebestand, dat laat zien welke financiele instellingen door de malware worden getarget:

Zoals te zien is, zijn ook de Nederlandse banken ING en Rabobank het doelwit, althans de klanten ervan. Als de malware de PC van de klant heeft geïnfecteerd, neemt Zeus de hele transactie tijdens een volkomen normale internetbankierensessie over, zonder dat de klant daar weet van heeft en zonder dat de bank dat kan zien. Volgens de bank heeft de klant gewoon ingelogd, en zijn alle navolgende overschrijvingen legaal.