Der Trojaner Zeus (auch Zbot genannt) ist eines der ältesten Malware-Programme, die es auf die Bankinformationen ihrer Opfer abgesehen haben. Der ursprüngliche Entwickler des Zeus-Virus hat den Code an einen Konkurrenten verkauft, aber über die Jahre sind mehrere Varianten in den Umlauf gekommen. Tatsächlich entstehen heute immer noch neue Varianten von Zeus. Was einmal als Banking-Trojaner begann, hat sich heute zu einem Malware-Paket mit Keyloggern, Browser-Injektion-Skripten, Ransomware und fortschrittlichen Peer-to-Peer-Kommunikationsnetzwerken entwickelt.

Geschichte des Zeus-Trojaners

Zbot wurde 2007 das erste Mal entdeckt, aber es wird gemeinhin angenommen, dass sein Entwickler, Evgeniy Bogachev (“Slavic”), die Malware bereits 2005 entwickelt hat. Ursprünglich war Zbot so programmiert, dass er einen Keylogger auf dem Zielgerät laufen lässt, um Banking-Informationen zu stehlen. Dem fügte Slavic dann jedoch weitere Funktionen hinzu, die dazu dienten, allen von Zeus betroffenen Geräten durch die Injektion von Web-Skripts und Peer-to-Peer-Kommunikation Botnet-Funktionalität zu verleihen.

2010 kündigte Slavic seine Absicht an, in Rente zu gehen und den Zeus-Code an die Konkurrenz-Malware SpyEye zu verkaufen. SpyEye war in der Lage, Zbot von einem Zielgerät aktiv zu entfernen und stattdessen seinen eigenen Code zu installieren. Kurz nachdem sich Slavic in den Ruhestand verabschiedet hatte, wurde die Code-Basis veröffentlicht, woraufhin mehrere Hacker-Gruppen ihre eigenen Zbot-Variationen entwickelten. Zeus infizierte daraufhin Millionen von Geräten, doch nur Slavic besaß die privaten Schlüssel, mit denen er den Code aktualisieren und auf das Peer-to-Peer-Netzwerk zugreifen konnte. Daher bezweifeln viele Forscher, dass sich Slavic jemals wirklich zur Ruhe gesetzt hatte.

Aktuell grassiert eine weit verbreitete Variante des Zeus-Trojaners namens GameOver Zeus. GameOver Zeus enthält das Grundgerüst von Zeus und dazu noch ein Peer-to-Peer-Kommunikationsnetzwerk mit Ransomware. Die Ransomware agiert hier als Ausfallsicherung, falls es der Malware allein nicht gelingt, Banking-Informationen zu stehlen. Für eine kurze Zeit konnten Forscher GameOver Zeus stoppen, bis die Entwickler den Code so änderten, dass er die Kontrollen der Forscher umging.

Wie funktioniert Zbot?

Zbot beginnt üblicherweise mit einer Phishing-E-Mail, die einen schädlichen Link enthält, über die die Zielperson die Malware herunterlädt, oder einen Anhang, der den Download der Malware startet, sobald der Nutzer ihn ausführt. Danach ist der nächste Schritt, Malware auf dem lokalen System zu verbreiten, damit Zbot mit seinem Command-and-Control-Server kommunizieren kann. Das lokale Gerät wird dabei gleichzeitig Teil des Zeus-Trojaner-Botnets, d.h. der Botnet-Besitzer bekommt Kontrolle über das Gerät. Über das Botnet hat er Angreifer außerdem Zugriff auf alle Daten des lokalen Geräts.

Der ursprüngliche Zeus-Trojaner installierte einen Keylogger, d.h. eine Malware-Anwendung, mit denen die Keyboardeingaben eines Geräts aufgezeichnet werden können. Immer, wenn die Zielperson eine URL, einen Nutzernamen oder ein Passwort in den Browser eingibt, speichert der Keylogger diese Informationen und sendet sie an das Command-und-Control-Zentrum. Diese Aktivitäten bleiben dem Nutzer so lange verborgen und können weitergehen, bis er erkennt, dass er Malware auf dem Gerät hat.

Nach mehreren Jahren Aktivität fügten die Zeus-Entwickler eine „Web-Inject“-Komponente hinzu. Diese Komponente injizierte schädlichen JavaScript-Code auf eine Bank-Homepage und brachte Nutzer dazu, sensible Informationen preiszugeben. Web-Inject-Komponenten umgehen Multi-Faktor-Authentifizierung und stehlen Daten direkt vom Account der Zielperson.

Wenn ein Nutzer GameOver Zeus ausführt, installiert die Malware zusätzlich zu den Komponenten, mit denen Banking-Informationen gestohlen werden können, auch noch Ransomware. Die Ransomware, die bei Zeus mit dabei ist, funktioniert ähnlich wie jede andere Ransomware, die sich gerade im Umlauf befindet. Sie scannt das lokale Gerät und jegliche geteilten Festplatten nach kritischen Dateien. Die Ransomware verschlüsselt diese Dateien dann mit einer sicheren Cipher und informiert den Nutzer über die Infektion. Der Nutzer bekommt einen Erpressernotiz mit Anweisungen, wie er das Lösegeld zu zahlen hat, um seine Dateien zurückzubekommen.

Was passiert, wenn ein Computer mit Zeus infiziert ist?

Bei Zeus handelt es sich vornehmlich um Crimeware. Das bedeutet, seine primäre Funktion ist das Stehlen von Banking-Informationen. Die Web-Inject-Komponente übernimmt dabei hauptsächlich die Funktion, die Banking-Informationen des Nutzers zu stehlen. Was zeus jedoch wirklich einzigartig macht, sind das Botnet und die Peer-to-Peer-Kommunikation. Zeus besitzt auch Proxy-Funktionalitäten, die den Command-and-Control-Server davor schützen, erkannt zu werden.

Ursprünglich besaß jedes Peer-to-Peer-Netzwerk sein eigenes Grundgerüst, verwaltet vom jeweiligen Besitzer. Forscher glauben, dass der Zweck des Botnets damals war, kritische Infrastruktur geheim zu halten, was einige Jahre lang auch scheinbar gut funktionierte. Slavic ging Kollaborationen mit mehreren Cyberkriminellen ein, was bedeutet, dass jedes Mitglied dieser Gruppe theoretisch sein eigenes Botnet betrieben haben könnte. Slavic behielt allerdings die alleinige Kontrolle über jegliche Backend-Infrastruktur. Er konnte auf das Peer-to-Peer-Netzwerk zugreifen, um Updates auszuführen, Daten abzurufen oder auch einfach nur, um Aktivitäten abzuhören. Auch wenn das gesamte Netzwerk einer anderen Gruppe an Cyberkriminellen gehörte, behielt er so weiterhin die volle Kontrolle über Zeus.

Wenn der Computer einer Zielperson von GameOver Zeus mit Ransomware betroffen ist, macht ihn das höchstwahrscheinlich unbenutzbar. Ein Grund, warum Ransomware so effektiv darin ist, Unternehmen zu erpressen, ist ihre Scan-Kapazitäten. Die Ransomware scannt verbundene Festplatten, was normalerweise Server im Netzwerk einschließt. Dateien werden über die gesamte Umgebung hinweg unwiderruflich verschlüsselt, wodurch Computer, die anfällig für Ransomware sind, unbrauchbar werden. Davon sind auch Server betroffen, auf denen kritische Anwendungen laufen. Falls Server oder Arbeitsplätze neu starten, kann es sein, dass sie abstürzen und Nutzern dadurch nicht mehr zur Verfügung stehen. In vielen Fällen bleibt den Administratoren nichts anderes übrig, als ein Image des Servers neu zu installieren, um das System nach einem solchen Angriff wiederherzustellen. Das bedeutet, sie müssen eine saubere Version des Betriebssystems neu installieren und verschlüsselte Dateien aus einem Backup wiederherstellen. Während der Zeit, in der das System wiederhergestellt wird, ist das Unternehmen nicht voll arbeitsfähig, was oft zu erheblichen Gewinneinbußen führt.

Welchen Schaden kann Zeus anrichten?

Eine wichtige Komponente fortschrittlicher Malware ist deren Fähigkeit, über längere Zeit in einer Umgebung aktiv zu sein, ohne dass Administratoren oder Nutzer ihre Anwesenheit bemerken. Zeus gilt als eine der fortschrittlicheren Malware-Anwendungen, die wir in freier Wildbahn antreffen, und hat sich über 15 Jahre lang gehalten. Die Malware hat zwei Hauptziele: Banking-Informationen zu stehlen und die Kommunikation zwischen Computern auf das Botnet zu beschränken.

Zeus nistet sich in das Computersystem ein, sodass er kontinuierlich Daten stehlen, mit dem Command-and-Control-Server kommunizieren und sich in die Webseiten von Bankaccounts einschleusen kann. Er verfolgt dabei nicht die Absicht, Computer zu beschädigen, es sei denn, es handelt sich um die Variante GameOver Zeus, die Ransomware enthält.

Nachdem der Zielcomputer ans Botnet angeschlossen ist, kommuniziert er mit dem Command-and-Control-Server. Ein Angreifer steuert den Command-and-Control-Server und kann auf dem infizierten Gerät Befehle ausführen. Zum Beispiel kann er das Gerät aus der Ferne steuern oder sich gestohlene Daten zusenden lassen. Zeus hat es vor allem anderen darauf abgesehen, Banking-Informationen zu stehlen, weshalb er wohl kontinuierlich die Web-Browsing-Aktivitäten auf Banking-Zugangsdaten überwachen und schädliche Skripte in geöffnete Webseiten einschleusen wird.

Manche Malware-Autoren wollen mit ihren Viren Computer zerstören, aber die Entwickler von Zeus haben die Malware so gebaut, dass sie verdeckt bleibt und Nutzer möglichst nicht beim Arbeiten stört. Je länger die Malware auf dem Computer bleibt, desto mehr Daten kann der Angreifer aus den Nutzeraktivitäten abgreifen. Jeder Computer im Botnet kann außerdem als Backup einspringen, sollte die Verbindung zu einem Computer im Malware-Netzwerk abbrechen.

Wer ist von Zeus betroffen?

Zeus hat keine offiziellen Zielpersonen oder -organisationen. Malware, die es auf Unternehmen abgesehen hat, wollen meist die Produktivität stören oder Geld erpressen, üblicherweise in Millionenhöhe. Demgegenüber hat es Zeus auf Banking-Zugangsdaten abgesehen, sodass sowohl Unternehmen als auch Individuen betroffen sein können. Es kann zwar vorkommen, dass Angreifer mit Kontrolle über ein spezielles Botnet bestimmte Unternehmen im Visier haben, aber die Malware an sich kann überall laufen, egal ob Server, Android-Geräte oder Windows-Arbeitsplätze.

Zbot konnte sich weitere Opfergruppen erschließen, indem er seinen Trojaner, der vorher nur auf Windows begrenzt war, auch für Android-Geräte optimierte und neben Individuen und Unternehmen zusätzlich noch Regierungen ins Visier nahm. Die Command-and-Control-Komponente von Zeus gibt Angreifern Zugriff auf die Daten des lokalen Geräts, wodurch Regierungen besonders Gefahr laufen, Handelsgeheimnisse und geistiges Eigentum zu verlieren, wenn ihre Arbeitsplätze mit einem Zeus-Trojaner infiziert sind.

Die Zeus-Malware und das Zeus-Botnet haben bereits Daten von mehreren angesehenen Regierungsinstitutionen und Unternehmen gestohlen. Angreifer nutzten beispielsweise Zeus, um Daten von der NASA, dem Transport-Ministerium der USA, der Bank of America sowie Amazon, Oracle, ABC und Cisco zu stehlen.

Zeus-Trojaner vs. GameOver Zeus: Die Unterschiede verstehen

Angreifer mit Zugriff auf den ursprünglichen Zeus-Quellcode haben bereits mehrere Varianten entwickelt. Eine neuere Variante ist GameOver Zeus, die im Vergleich zu ihrem Vorgänger weitaus fortschrittlicher ist. GameOver Zeus besitzt ebenfalls eine Botnet-Komponente, aber erhöht die Sicherheit seiner Kommunikation noch zusätzlich mithilfe von Verschlüsselung, um sich vor Ermittlungen durch Strafverfolgungsbehörden zu schützen.

Wie bereits erwähnt, besitzt GameOver Zeus alle Merkmale des ursprünglichen Zeus-Virus, und nutzt darüber hinaus noch Verschlüsselung für seine Kommunikation und Cyptolocker-Ransomware. Beide Varianten fügen dem Opfer finanziellen Schaden zu, aber die Cryptolocker-Komponente bei GameOver Zeus ist vermutlich am gefährlichsten für Organisationen und Individuen.

Nachdem eine Zielperson GameOver Zeus installiert hat, schließt sich ihr Computer dem Standard-Botnet von Zeus an. Gleich darauf beginnt die CryptoLocker-Ransomware mit ihrer Arbeit. CryptoLocker sucht nach über 150 Dateiendungen und -typen und verschlüsselt die gefundenen Daten. Die betroffenen Dateien lassen sich nur mit einem geheimen Schlüssel entschlüsseln, den der Nutzer erst erhält, nachdem er das Lösegeld bezahlt hat.

2014 konnten Forscher den geheimen Schlüssel von GameOver Zeus abfangen, sodass jedes GameOver-Zeus-Opfer seine Dateien selbst entschlüsseln konnte. Die GameOver-Zeus-Entwickler änderten daraufhin jedoch schnell den Code, sodass die Forscher ihn nicht mehr abhören konnten. Für eine kurze Zeit gab es jedoch eine einfache Lösung für GameOver Zeus.

Prävention

Individuen und Organisationen können mehrere Schritte unternehmen, um Zeus zu stoppen und daran zu hindern, sich auf ihren Geräten zu installieren. Der erste Schritt ist, Angestellte aufzuklären, woran sie Phishing-E-Mails erkennen können – dies können sie durch die Entwicklung eines Security-Awareness-Trainingsprogramms erreichen. Die meisten Zeus-Installationen beginnen mit einer Phishing-E-Mail, die entweder ein Skript enthält, das Zeus herunterlädt, oder einen Link, über den Nutzer Zeus mit ihrem Browser herunterladen.

Halten Sie jegliche Anti-Malware- und Antivirensoftware stets auf dem neusten Stand, um sicherzugehen, dass sie die neuesten Angriffe identifizieren und stoppen können. Sie sollten sich zwar nie nur auf Antivirensoftware verlassen, aber sie kann durchaus viele der geläufigen Bedrohungen stoppen, die sich aktuell im Umlauf befinden. Dazu gehört auch Zeus. Updates stellen sicher, dass die Antivirensoftware auch die neueren Varianten erkennt.

Zeus stiehlt im Browser und in Passwort-Managern gespeicherte Passwörter. Speichern Sie keine Passwörter auf dem Gerät. Wenn Sie einen Passwort-Manager verwenden, speichern Sie keinesfalls den privaten Schlüssel für den Zugang zum Passwort-Manager auf dem lokalen Gerät.

Angestellte sollten niemals Raubkopien von Software installieren. Raubkopien enthalten oft versteckte Malware, die sich während der Installation legitimer Software mitinstalliert. Laden Sie Software nur aus legitimen Quellen und nutzen Sie nur lizensierte Software.

So lässt sich der Zeus-Virus finden und entfernen

Die einzige Möglichkeit, Zeus von einem Computer zu entfernen, ist mithilfe von Antivirensoftware. Sie können Dateien, die von CryptoLocker verschlüsselt wurden, damit zwar nicht wieder entschlüsseln, aber Sie können Zeus und sein Botnet mit einem guten Antivirenprogramm entfernen.

Das sind die grundlegenden Schritte zum Löschen von Zeus:

  1. Laden und installieren Sie Antivirensoftware.
  2. Starten Sie Ihren Windows-Computer im abgesicherten Modus ohne Netzwerkunterstützung neu. Dieser Schritt verhindert, dass sich Zeus mit seinem Botnet verbindet.
  3. Lassen Sie die Antivirensoftware Ihren Computer scannen.
  4. Entfernen Sie mit der Antivirensoftware jegliche Malware, die sie auf Ihrem Computer findet. Dazu folgen Sie den Anweisungen, die Ihnen das Programm gibt.

Wie kann Proofpoint helfen?

Organisationen brauchen ein für große Unternehmen geeignetes Risikomanagement und Anti-Malware-Strategien, die Zeus und andere Varianten stoppen können. Proofpoint kann Administratoren unterstützen, passende Strategien zu entwickeln und eine Cybersicherheitsinfrastruktur aufzubauen, die Zeus, Ransomware, Botnet-Malware und andere Anwendungen, die Ihrem Unternehmen schaden können.