Ερευνητές ασφάλειας έχουν εντοπίσει μια νέα παραλλαγή του malware Ζeus, η οποία διαθέτει λιγότερες λειτουργίες, όμως χρησιμοποιεί ισχυρότερους μηχανισμούς κρυπτογράφησης για να περνά απαρατήρητη.
Η εταιρεία Fortinet ανέλυσε λεπτομερώς το κακόβουλο λογισμικό, το οποίο είναι γνωστό και ως “Lite Zeus”. Σύμφωνα με τον εμπειρογνώμονα ασφάλειας Κan Chen, το malware διαφέρει από άλλες εκδόσεις του Zeus, όπως το Gameover, όσον αφορά την επικοινωνία με το δίκτυο, το πρωτόκολλο command and control και τις τεχνικές κρυπτογράφησης.
Αξίζει να σημειωθεί ότι, το Lite Ζeus χρησιμοποιεί μόνο το πρωτόκολλο TCP για την επικοινωνία με το κέντρο διοίκησης και ελέγχου (C&C) – για την αποστολή ή την ανάκτηση πληροφοριών – και διαθέτει μια σειρά από χαρακτηριστικά και λειτουργίες, συμπεριλαμβανομένου ότι μπορεί να οδηγεί τα λειτουργικά συστήματα σε τερματισμό ή επανεκκίνηση. Οι επιτιθέμενοι μπορούν, επίσης, να τροποποιήσουν το botnet κατά βούληση, για τη διεξαγωγή επιπρόσθετων κακόβουλων δραστηριοτήτων.
Ο Chen αποκάλυψε ότι η «Lite» έκδοση του Ζeus, χρησιμοποιεί AES-128, αντί για την παλαιότερη μορφή κρυπτογράφησης RC4.
«Όσον αφορά πολλές παραλλαγές του Ζeus, το RC4 έχει χρησιμοποιηθεί ευρέως στην κρυπτογράφηση και την αποκρυπτογράφηση των δεδομένων, λόγω της γρήγορης ταχύτητας και της εύκολης ενσωματώσής του. Παραδόξως, αυτή η παραλλαγή του Ζeus δεν χρησιμοποιεί RC4, αλλά υλοποιεί AES-128 αντ ‘αυτού.»
«Μετά την εξουδετέρωση του Game Over Ζeus, υπάρχουν πολλές παραλλαγές του malware που έχουν καταλάβει προσωρινά την αγορά, και το Lite Zeus είναι σίγουρα μία από αυτές» επισήμανε ο ερευνητής.
