Mais uma Variante do ZeuS à Solta

quarta-feira, 9 de novembro de 2011 por Administrador


Anteriormente, relatamos o aparecimento de malwares baseados no vazamento do código do ZeuS, como Ice IX e ZeuS 2.3.2.0. O uso desses códigos continua, e desde então resultou em ataques como os que vamos comentar aqui.

Desde a segunda quinzena de setembro, monitoramos uma versão do ZeuS que também pode ser baseada no código fonte vazado do ZeuS. Apesar de não haver referência no código ao número da versão, acreditamos que foi desenvolvido pela mesma equipe responsável pelo LICAT.

Esta nova versão, detectada pela Trend Micro como TSPY_ZBOT.SMQH, circulou no final de setembro em um spam que alegava vir do Escritório de Taxação Australiano (Australian Taxation Office - ATO). A mensagem continha um link malicioso que levava usuários a um website malicioso que servia o BlackHole Exploit Kit. O kit de exploit, por sua vez, baixava uma variante da nova versão do ZeuS.

ATOspam

Figura 1. Mensagens de spam alegam ter sido enviadas pelo Escritório de Taxação Australiano

Diferente de outras versões do ZeuS que utilizavam HTTTP para baixar o arquivo de configuração, esta versão abre uma porta UDP aleatória e acessa uma lista fixa de endereços IP para baixar o arquivo de configuração.

Aother-Zeus_Figure_2_-UDP

Figura 2. Comunicação de rede.

TSPY_ZMBOT.SMQH estabelece comunicação com o servidor enviando dados criptografados que contêm o ID do bot e uma sequência de caracteres. Cada endereço IP na lista fixa tem uma sequência de caracteres correspondente que o servidor aparentemente verifica para validar a comunicação.

Aother-Zeus_Figure_3

Figura 3. Lista de endreços IP e portas de destino UDP correspondentes e sequência de caracteres

Caso algum dos endereços IP esteja ativo, ele responderá com o arquivo de configuração criptografado através de TCP.

Aother-Zeus_Figure-_4-rep

Figura 4. Sequencia TCP mostrando a resposta quando o endereço IP está ativo.

Decodificando o Arquivo de Configuração

Depois que o arquivo de configuração for baixado, o TSPY_ZBOT.SMQH emprega o seguinte algoritmo de decodificação para o arquivo de configuração:

Aother-Zeus_Figure-_5-new-ZeuS-decrypt

Figura 5. Algoritmo de decodificação para esta variante modificada do ZeuS 2.0

Como podemos ver, diferente do ZeuS 2.3.2.0, que utiliza criptografia AES (Advanced Encryption Standard), o algoritmo de decodificação não mudou muito em comparação ao ZeuS 2 modificado, que utiliza RC4.

Aother-Zeus_Figure-_6-ZeuS-decrypt

Figura 6. Comparação do algoritmo de decodificação entre o ZeuS 2 e o ZeuS 2.3.2.0

Assim como o LICAT e o ZeuS 2.3.2.0, esta nova variante parece ter sido desenvolvida por uma gangue profissional privada, provavelmente o mesmo grupo que criou o LICAT - ou, no mínimo, um grupo associado a eles. De fato, o arquivo de configuração do TSPY_ZBOT.SMQH tem o mesmo formato do arquivo de configuração do LICAT.

As mensagens de spam são direcionadas a usuários australianos, mas o conteúdo do arquivo de configuração decodificado indica que ele pode ser utilizado em uma campanha global, incluindo ataques aos Estados Unidos, Europa e países asiáticos.

Continuaremos monitorando essa ameaça e outras variantes que apareçam no futuro.

3comentário(s) para “Mais uma Variante do ZeuS à Solta”

  1. Gravatar of Kaydence
    KaydenceDiz:
    segunda-feira, 28 de novembro de 2011Going to put this atrlice to good use now.
  2. Gravatar of hahyrurh
    hahyrurhDiz:
    terça-feira, 29 de novembro de 2011xqH5on , [url=http://kjjyxckruder.com/]kjjyxckruder[/url], [link=http://pvfhschdlxtf.com/]pvfhschdlxtf[/link], http://autopadtqjhq.com/
  3. Gravatar of wurqvpxmvyl
    wurqvpxmvylDiz:
    quarta-feira, 7 de dezembro de 2011ml07Yd , [url=http://adhxetwvjgon.com/]adhxetwvjgon[/url], [link=http://mlodzmyhtjec.com/]mlodzmyhtjec[/link], http://wciocgyhydvx.com/

Deixe um comentário:

Nome:  
Email:  
Website:
Comentário:  
 
Copyright 1989-2009 Trend Micro, Inc. Todos os direitos reservados.             |       
|        Topo