Cos’è Zeus Trojan Horse (Zbot)?

Il Trojan Zeus (Zbot) è uno dei malware più longevi utilizzati per sottrarre dati bancari alle vittime. Sebbene il creatore abbia venduto il codice di Zeus a un concorrente, nel corso degli anni sono state sviluppate numerose varianti, e nuove versioni continuano a emergere ancora oggi. Nato come un semplice trojan bancario, Zeus si è evoluto in un pacchetto malware completo, che include keylogger, script per iniezione nei browser, ransomware e una sofisticata rete di comunicazione peer-to-peer.

Individuato per la prima volta nel 2007, l’origine di Zeus rimane incerta. Alcune fonti suggeriscono che sia stato creato da un gruppo di hacker dell’Europa orientale e attribuiscono la sua ideazione a Evgeniy Bogachev, noto come Slavic. Si dice che Slavic si sia ritirato nell’ottobre 2010, vendendo il codice di Zeus a SpyEye, un malware rivale. Tuttavia, questa versione è contestata, poiché altre fonti sostengono che Slavic non abbia mai venduto il codice e possieda ancora la chiave principale della botnet originale.

Nel maggio 2011, il codice sorgente di Zeus è stato reso pubblico, permettendo a diversi gruppi di hacker di creare proprie varianti. Tra queste, GameOver Zeus è una delle più conosciute. Pur mantenendo la struttura originale di Zeus, GameOver Zeus integra funzionalità avanzate come comunicazione peer-to-peer, un algoritmo di generazione di domini (DGA), crittografia e server proxy per eludere il rilevamento e le azioni di contrasto.

GameOver Zeus può anche distribuire ransomware, il quale cripta i file degli utenti chiedendo un riscatto per la decifrazione. Questo ransomware agisce indipendentemente dal furto di informazioni bancarie da parte di GameOver Zeus. Sebbene i ricercatori siano riusciti temporaneamente a bloccarne la comunicazione, gli autori del malware hanno rapidamente aggiornato il codice per aggirare i controlli.

Zbot si diffonde solitamente tramite un’email di phishing contenente un link dannoso o un allegato che, una volta aperto dall’utente, avvia il download del malware. Il primo passo del processo consiste nell’installare il malware sul sistema locale, consentendogli di comunicare con il server centrale di comando e controllo di Zbot. Il computer infetto diventa parte della botnet Zeus Trojan, mettendolo sotto il controllo del proprietario della botnet e fornendogli accesso ai dati del dispositivo.

La versione originale del Trojan Zeus Horse include un keylogger, un’applicazione malware che registra i tasti premuti sulla tastiera. Ogni volta che l’utente inserisce un URL, un nome utente o una password in un browser, il keylogger raccoglie queste informazioni e le invia al centro di comando e controllo. L’operazione è invisibile all’utente e continua fino a quando non viene rilevata la presenza del malware.

Negli anni successivi, gli sviluppatori di Zeus hanno introdotto un componente “web inject”. Questo aggiunge codice JavaScript dannoso alle pagine bancarie, inducendo gli utenti a fornire informazioni sensibili. Il componente webinject può anche aggirare l’autenticazione a più fattori, rubando i dati direttamente dall’account bancario dell’utente.

Con GameOver Zeus, il malware include un ransomware oltre al componente per il furto di credenziali bancarie. Questo ransomware scansiona il sistema locale e le unità condivise alla ricerca di file critici, li cifra con un algoritmo sicuro e avvisa l’utente dell’infezione. Una nota di riscatto fornisce istruzioni su come pagare per ottenere la decrittazione dei file.

Zeus è principalmente un crimeware, progettato per rubare informazioni bancarie. Il componente webinject è il principale responsabile del furto di credenziali, mentre la botnet e la comunicazione peer-to-peer rendono Zeus particolarmente distintivo. Zeus dispone inoltre di funzionalità proxy, che proteggono il server di comando e controllo dal rilevamento.

Ogni rete peer-to-peer aveva inizialmente una rete indipendente, gestita dal rispettivo proprietario. I ricercatori ritengono che questa struttura sia stata utilizzata per nascondere infrastrutture critiche, riuscendo a farlo per anni. Slavic, il creatore di Zeus, collaborava con vari criminali informatici, consentendo a ciascuno di loro di controllare la propria botnet. Tuttavia, Slavic aveva accesso esclusivo all’intera infrastruttura di backend. Poteva utilizzare la rete peer-to-peer per aggiornare il malware, raccogliere dati o monitorare le attività. Nonostante i gruppi criminali gestissero le singole reti, Slavic manteneva il controllo completo su Zeus e sulla sua infrastruttura.

Quando GameOver Zeus infetta un computer con ransomware, il dispositivo diventa spesso inutilizzabile. Il ransomware è particolarmente efficace nel ricattare le aziende grazie alla sua capacità di scansionare le unità mappate, che generalmente includono i server di rete. I file in tutto l’ambiente vengono crittografati in modo irreversibile, rendendo inutilizzabili sia i computer vulnerabili che i server critici. Se i server o le workstation vengono riavviati, possono bloccarsi o diventare inaccessibili. Spesso, l’unica soluzione per gli amministratori è reinstallare il sistema operativo e ripristinare i file crittografati da un backup. Tuttavia, il tempo necessario per il ripristino si traduce in un’interruzione delle operazioni aziendali, causando significative perdite di fatturato.

Uno degli aspetti più insidiosi delle minacce informatiche sofisticate è la capacità di rimanere attive nell’ambiente senza essere rilevate da amministratori o utenti. Zeus, considerato uno dei malware più sofisticati, è operativo da oltre 15 anni e ha due obiettivi principali: rubare informazioni bancarie e mantenere la comunicazione tra i computer della botnet.

Zeus si integra nei sistemi per raccogliere continuamente dati, comunicare con il server di comando e controllo e iniettare codice dannoso nelle pagine web dei conti bancari. Il malware non danneggia il computer bersaglio, a meno che non sia infettato da GameOver Zeus.

Una volta che il computer entra a far parte della botnet, inizia a comunicare con il server di comando e controllo. Gli aggressori possono inviare comandi al dispositivo infetto per accedere da remoto, rubare dati o eseguire altre operazioni. Zeus monitora costantemente l’attività del browser, cercando credenziali bancarie e iniettando codice dannoso nelle pagine web aperte.

A differenza di alcuni autori di malware che creano virus distruttivi, i creatori di Zeus hanno progettato il malware per restare nascosto e permettere agli utenti di continuare a lavorare senza interruzioni. Più a lungo Zeus rimane attivo su un computer, maggiori sono i dati che può raccogliere. Ogni dispositivo della botnet può anche fungere da backup, garantendo la continuità della rete nel caso in cui un altro computer venga scollegato.

Zeus non ha un target ufficiale. I malware progettati per colpire le aziende mirano solitamente a interrompere la produttività o a estorcere milioni di dollari, mentre Zeus si concentra sul furto di credenziali bancarie, danneggiando sia privati che aziende. Gli aggressori che controllano una botnet specifica possono prendere di mira organizzazioni specifiche, ma il malware è pensato per funzionare su server, dispositivi Android e workstation Windows.

Con il tempo, Zeus ha ampliato il proprio raggio d’azione, includendo dispositivi Android oltre ai sistemi Windows, e aggiungendo governi ai suoi obiettivi tradizionali. Il server di comando e controllo di Zeus consente agli aggressori di accedere ai dati memorizzati nei computer infetti. Per i governi, ciò rappresenta un rischio particolarmente grave, poiché possono perdere segreti commerciali o informazioni riservate in caso di compromissione di una workstation.

Il malware e la botnet Zeus hanno sottratto dati a numerose agenzie governative e aziende private di rilievo, tra cui la NASA, il Dipartimento dei Trasporti degli Stati Uniti (DOT), la Bank of America, Amazon, Oracle, ABC e Cisco.

Gli aggressori che hanno accesso al codice sorgente originale di Zeus hanno sviluppato diverse varianti, tra cui GameOver Zeus, una versione molto più sofisticata del suo predecessore. Pur avendo una componente botnet simile, GameOver Zeus introduce la crittografia delle comunicazioni per proteggerle dalle indagini delle autorità.

GameOver Zeus conserva tutte le funzionalità dello Zeus originale, aggiungendo però la crittografia dei dati e il ransomware CryptoLocker. Entrambe le varianti causano danni finanziari, ma il componente CryptoLocker rende GameOver Zeus particolarmente pericoloso per aziende e individui.

Dopo l’installazione di GameOver Zeus su un computer bersaglio, il dispositivo si unisce alla botnet standard di Zeus. Successivamente, CryptoLocker entra in azione, cercando tra oltre 150 estensioni e tipi di file per crittografare i dati. I file crittografati possono essere sbloccati solo utilizzando la chiave privata, che viene fornita dopo il pagamento del riscatto.

Nel 2014, i ricercatori sono riusciti a intercettare la chiave privata di GameOver Zeus, permettendo alle vittime di decriptare i propri file. Tuttavia, gli sviluppatori di GameOver Zeus hanno rapidamente aggiornato il codice per aggirare i ricercatori, rendendo il malware nuovamente operativo.

Sia gli individui che le organizzazioni possono adottare misure per prevenire l’installazione di Zeus sui propri dispositivi. Il primo passo è educare i dipendenti a riconoscere le email di phishing, sviluppando programmi di formazione sulla sicurezza. La maggior parte delle infezioni da Zeus inizia con un’email contenente uno script o un link per scaricare il malware.

Tenere sempre aggiornati software antivirus e antimalware è essenziale per rilevare e bloccare le minacce più recenti. Sebbene non ci si debba affidare esclusivamente agli antivirus, questi strumenti sono efficaci contro molte minacce comuni, inclusi Zeus e le sue varianti.

Zeus ruba le password memorizzate nei browser o nei gestori di password. Evita di salvare password sul computer e, se utilizzi un gestore di password, non conservare la chiave privata di accesso sullo stesso dispositivo. Inoltre, i dipendenti non dovrebbero mai scaricare software pirata, che spesso contengono malware nascosto. Assicurati di utilizzare solo software scaricato da fonti ufficiali e con licenza.

L’unico modo per rimuovere Zeus è utilizzare un software antivirus. Sebbene i file crittografati da CryptoLocker non possano essere decriptati, il malware e la botnet possono essere eliminati seguendo questi passaggi:

1. Scaricare e installare un software antivirus affidabile.
2. Riavviare il computer Windows in modalità provvisoria senza supporto di rete, per impedire a Zeus di connettersi alla botnet.
3. Avviare una scansione completa con il software antivirus.
4. Consentire all’antivirus di rimuovere il malware individuato e seguire le istruzioni del programma.

Le aziende devono implementare strategie di gestione del rischio e soluzioni anti-malware avanzate per proteggersi da Zeus e altre minacce. Proofpoint supporta gli amministratori nella creazione di infrastrutture di sicurezza informatica efficaci per bloccare Zeus, ransomware, botnet e altri malware dannosi, garantendo una protezione solida per l’azienda.