Специалисты в области защиты от вредоносных программ в течение нескольких последних месяцев предупреждали, что на базе двух мощных программ, направленных на банковские информационные системы, может появиться еще более изощренный и опасный инструмент. Их опасения оправдались.
Авив Рафф, директор по технологиям и сооснователь компании Seculert, сообщил, что зафиксировано появление программ, объединяющих в себе элементы как Zeus, так и SpyEye. К счастью, эти случаи пока единичны.
Seculert даже опубликовала скриншоты новой программы, которая имеет две версии управляющей панели, используемой для манипулирования зараженными компьютерами. Одна из них напоминает панель Zeus, другая соответственно панель SpyEye. Обе они устанавливают соединение с одним и тем же базовым командно-управляющим сервером.
Рафф отметил: «Использование двух панелей продиктовано тем, что многие преступники привыкли к внешнему виду и работе панели Zeus и для них так будет проще перейти на новую версию".
Некоторое время компании, занимающиеся антивирусными продуктами, в том числе Trend Micro и McAfee, сообщали информацию, известную на уровне слухов, что российский хакер, автор кода Zeus, «отошел от дел". Это же подтверждал и независимый журналист Брайан Кребшейв, освещающий тематику киберпреступности.
По слухам, код Zeus был передан создателю SpyEye, после чего ожидалось определенного рода слияние этих двух программ.
Безусловно, банки подобная новость не обрадует. С помощью Zeus можно было обойти программные средства защиты, получить доступ к банковским реквизитам и исполнить преступные транзакции "на лету". Этим воспользовались несколько организованных преступных групп, которые производили перевод средств со счетов жертв. В прошлом году десятки людей были арестованы в США и Великобритании за снятие со счетов и переправку таких денег для криминалитета.
Новая вредоносная программа имеет по крайней мере несколько дополнительных функций. Одна из них направлена против системы Rapport компании Trusteer. Это средство, подключаемое как расширение для браузера, защищает соединение между клиентом и банковским сервером от атак "с посредником». В Zeus функция обхода Rapport была реализована как самостоятельный модуль, теперь же она вошла в состав программы.
Авторы вредоносной программы добавили также возможность подключаться к компьютеру жертвы удаленно с использованием протокола Remote Desktop Protocol. Это протокол корпорации Microsoft, позволяющий удаленному пользователю получать доступ к компьютеру с применением обычного графического пользовательского интерфейса Windows, а не командной строки.
Пока, по мнению Раффа, только несколько киберпреступников взяли на вооружение новую версию. Он отказался сообщить, как Seculert получила эту программу в свое распоряжение, а также за какую цену она может распространяться на теневом рынке.
"Вероятно, программа еще в стадии разработки, несколько ошибок исправлено буквально на днях", — сказал Рафф.