Το Zemot dropper είναι ένα μέρος του Upatre malware dowloader που έχει εντοπισθεί από ερευνητές ασφάλειας να επωφελείται από πολλαπλά σημεία διανομής που περιλαμβάνουν τόσο οι ασφαλείς ιστοσελίδες, καθώς και το spam botnet Asprox / Kuluoz.
Η Microsoft παρατήρησε τη δραστηριότητα του TrojanDownloader: Win32 / Upatre.B στα τέλη του 2013 και απ’ ότι φαίνεται προτιμάται από εγκληματίες του κυβερνοχώρου για την κατανομή των δύο στελεχών του κακόβουλου λογισμικού (PWS: Win32 / Zbot.gen AP και PWS: Win32 / Zbot.CF).
Τον Μάιο του 2014, η εταιρεία αποφάσισε να μετονομάσει το Upatre.B να Zemot προκειμένου να γίνει διάκριση μεταξύ των δύο απειλών που είναι παρόμοια, αλλά με ορισμένες ιδιαιτερότητες που τα διαφοροποιούν, που αρκεί να τα επισημάνει ως μια νέα οικογένεια malware.
Το Zemot είναι μέρος ενός δικτύου με μια σύνθετη δομή που περιλαμβάνει διάφορους τύπους malware. Οι ερευνητές λένε ότι το dropper παραδίδεται στον υπολογιστή του θύματος μέσω των exploit kits Magnitude και Nuclear Pack, ή μπορεί να διανέμονται μέσω του αποστολής spam του botnet Kuluoz.
Μόλις εισβάλει στο σύστημα το Zemot, αρχίζει να διοχετεύει το click-fraud malware. Ωστόσο, η Microsoft λέει ότι πρόσφατα, έχουν διανεμηθεί και άλλοι τύποι απειλών (Rovnix, Viknok και Tesch), οι οποίοι μπορεί να χρησιμοποιηθούν για τη λήψη νέων malware ή για την κλοπή ευαίσθητων πληροφοριών.
Είναι μια πολύπλοκη αλυσιδωτή προσβολή που μπορεί να βασίζεται σε διάφορες μεθόδους εισβολής μέχρι να φτάσει το malware να μολύνει τον υπολογιστή.
Στην ανάλυσή του, η Microsoft επισημαίνει ότι το Zemot προσφεύγει σε διάφορες τεχνικές ώστε να διασφαλιστεί ότι η λήψη της μονάδας θα είναι επιτυχής σε όλες τις πλατφόρμες των Windows.
Επίσης, αποθηκεύει όλα τα ληφθέντα αρχεία με μοναδικά ονόματα αρχείων που συμβάλλουν όχι μόνο στην αποφυγή της ανίχνευσης, αλλά και την αύξηση του αριθμού των μολύνσεων του ίδιου μηχανήματος.
Περισσότερες λεπτομέρειες σχετικά με τον Zemot μπορείτε να βρείτε εδώ.
