Malware Trojan Zeus — Definição e prevenção

Desde que foi introduzido na internet em 2007, o ataque de malware Zeus (também chamado de Zbot) se tornou um vírus de cavalo de Troia de enorme sucesso. Ainda hoje, o trojan Zeus e suas variantes são uma grande ameaça à segurança cibernética, e muitos computadores que executam o Microsoft Windows ainda estão em risco. Como algumas variantes do vírus Zeus são malware sem arquivos, também pode ser difícil para um software antivírus detectá-las.

O malware Zeus pode dar ao invasor acesso total às máquinas infectadas. Embora a variante original do Zeus utilizasse principalmente o keylogger man-in-the-browser para obter acesso às credenciais bancárias e outras informações financeiras de um computador infectado, muitas formas do vírus Zeus também podem ser usadas para adicionar o ransomware CryptoLocker a um sistema operacional ou adicionar computadores infectados a uma botnet para executar ataques de negação de serviço distribuído (DDoS).

O que é o malware Zeus?

O vírus trojan Zeus foi criado pela primeira vez em 2007, quando hackers da Europa Oriental o usaram mirando o Departamento de Transporte dos Estados Unidos. Embora seja difícil dizer com certeza quem o criou, o ataque realmente decolou quando seu código malicioso se tornou público em 2011. Desde então, ele gerou dezenas de variantes que mantiveram especialistas em segurança da internet e autoridades policiais ocupados.

Existem dois vetores de ataque comuns que expõem os computadores Windows ao ataque do malware trojan Zeus. Os downloads drive-by exigem que o usuário visite um site que contém o código do trojan backdoor. Eles então baixam arquivos para o computador do usuário sem o conhecimento deste. Navegadores modernos como o Google Chrome geralmente bloqueiam esses downloads e o site em que eles são encontrados, mas os hackers estão constantemente implementando novas soluções alternativas para isso. Enquanto isso, navegadores mais antigos, como o Internet Explorer, podem não bloquear downloads drive-by. O outro modo principal de infecção do Zeus é por meio de ataques de phishing, em que o usuário acha que está baixando um software benigno de links em um e-mail de phishing ou uma postagem em uma mídia social.

Os dois principais objetivos do vírus cavalo de Troia Zeus são roubar informações financeiras das pessoas e adicionar máquinas a uma botnet. Ao contrário de muitos tipos de malware, a maioria das variantes do Zeus tenta evitar causar danos a longo prazo ao dispositivo que infecta. O objetivo deles é evitar a detecção de software antivírus. Quanto mais tempo eles durarem, maior será a probabilidade de o hacker obter informações valiosas da sua instituição financeira.

Qualquer número de computadores pode se tornar parte de uma botnet do Zeus: o FBI e o Departamento de Justiça dos Estados Unidos estimaram em 2014 que até um milhão de computadores ao redor do mundo foram infectados com a variante Gameover do Zeus.

Tipos e casos de uso do malware Zeus

O vírus Zeus é versátil e insidioso, e seu código fonte público torna fácil para um ator malicioso personalizá-lo de acordo com suas necessidades. Algumas das variantes mais comuns do Zeus são:

• Zeus Gameover: variante mais perigosa do Zeus, o malware Zeus Gameover permite que as pessoas que o implementam lancem um ataque de ransomware potencialmente devastador em um computador com Microsoft Windows.
• SpyEye: este malware bancário funciona de forma semelhante ao malware Zeus e, na verdade, os programas são intimamente relacionados entre si.
• Ice IX: após o vazamento do vírus Zeus, o sistema Ice IX foi a primeira botnet baseada em seu código-fonte. Utiliza formulários não autorizados para roubar informações financeiras, como suas credenciais bancárias.
• Carberp: este trojan bancário afeta versões mais antigas do Windows, como Windows XP e Windows 7. Alguém combinou este trojan financeiro com a base de código do Zeus para criar um malware chamado “Zberp”.
• Shylock: esta infecção de malware usa ataque do tipo "man-in-the-browser" para roubar informações de contas bancárias também.

Implementar uma forte segurança de endpoint e manter seu software antivírus atualizado são duas das melhores maneiras de se proteger contra o Zeus e suas inúmeras variantes.

Alguns sinais de que um computador está infectado com um trojan Zeus incluem:

• Desaceleração repentina da velocidade de operação do dispositivo
• Transações incomuns no portal bancário on-line
• Programas desconhecidos em execução no seu sistema operacional
• Seu computador começa a superaquecer de repente

Riscos do vírus Zeus

Só porque um risco está bem definido não significa que ele deixou de ser uma ameaça. Explorações de estouro de buffer, por exemplo, existem há quase 40 anos e ainda podem devastar servidores e sistemas que se recusam a priorizar a cibersegurança.

À medida que a tecnologia evolui, também evoluem as técnicas que o ator malicioso usa para obter acesso a essa tecnologia. Além disso, a infraestrutura da nossa sociedade está se tornando cada vez mais digital. Isso só aumenta ainda mais os riscos.

Quando o FBI reprimiu o Zeus Gameover em 2014, eles estimaram que o malware já havia infectado até um milhão de computadores, 25% deles nos EUA. Por sua vez, isso resultou em mais de US$ 100 milhões em danos financeiros. O risco mais imediato de uma infecção pelo Zeus é a perda financeira resultante do comprometimento de suas credenciais bancárias. Se o invasor puder encontrar um alvo corporativo com muito dinheiro, melhor para ele.

O outro risco primário do trojan Zeus é mais sutil. O vírus e suas variantes podem permanecer sem serem detectados em um computador por meses ou até mais, sendo ativados somente quando a botnet precisa da máquina. Ao contrário de muitos outros tipos de botnet, não há um computador de comando centralizado que as autoridades policiais possam desligar; qualquer computador pode enviar comandos a qualquer momento.

Assim como a ferramenta de exfiltração Sidoh, quanto mais tempo o Zeus puder permanecer em execução sem ser detectado em um sistema, mais danos ele poderá causar. Um computador infectado pode simplesmente registrar as teclas digitadas pelo usuário e enviá-las ao invasor, ou gerar ativamente páginas login falsas para redes sociais comuns para coletar e vender credenciais login. Ele pode organizar um ataque de DDoS contra uma pessoa, empresa ou governo; ele pode simplesmente ficar à espreita até que a botnet seja necessária.

Em todos os casos, é melhor que empresas grandes e pequenas sejam proativas em relação à sua cibersegurança. Sites que permitem que os usuários façam login, por exemplo, podem implementar medidas de segurança como autenticação de dois fatores e medidas de segurança de endpoint.

Evitando ataques do malware Zeus

Como acontece com muitas ameaças na Internet, a melhor maneira de evitar um ataque do malware Zeus é adotar uma abordagem multifacetada. Não presuma simplesmente que uma ferramenta antimalware será suficiente. Mantenha esse software atualizado em todas as máquinas monitoradas pela sua empresa e certifique-se de que estejam funcionando corretamente.

Outro elemento crítico na proteção contra qualquer forma de malware, ransomware ou outro exploit é o fator humano. Treine todos os seus funcionários para identificar ataques de phishing e spam e tenha um sistema de reporte em funcionamento caso suspeitem de qualquer tipo de ação maliciosa. Da mesma forma, você deve configurar uma política de uso aceitável robusta e um gerenciamento unificado de endpoints para o dispositivo da sua empresa.

A boa notícia é que o código-fonte do trojan Zeus é público desde 2011. Isso significa que tanto os bons quanto os maus elementos têm muitas lições a aprender com isso. Principalmente depois da repressão do FBI ao Zeus Gameover, em 2014, os profissionais de segurança têm trabalhado arduamente para aplicar essas lições.

Embora o Zeus tenha como alvo principal informações financeiras e credenciais de login, botnets como a administrada pelo Zeus Gameover geralmente não são exigentes quanto aos seus alvos. Qualquer um pode relaxar e se tornar vítima de um download drive-by. Algumas práticas recomendadas que você pode implementar para evitar que o Zeus cause problemas no futuro incluem:

• Boas práticas de higiene cibernética são essenciais para prevenir qualquer ataque. Mantenha seu software de segurança, navegador e firewalls atualizados.
• Evite clicar em links em e-mails suspeitos de phishing.
• Use um programa antivírus de uma fonte confiável e atualize suas definições de vírus pelo menos uma vez por mês.
• Fique por dentro das novidades em notícias de segurança e esteja proativamente ciente das novas ameaças baseadas em códigos antigos.
• Treine toda a sua equipe, não apenas o pessoal de TI, nessas práticas recomendadas.

Como acontece com a maioria das formas de malware, a chave para prevenir um ataque de Zeus (ou qualquer outro trojan bancário) é uma combinação de tecnologia avançada com esforço humano. Todo mundo tem um papel a desempenhar na cibersegurança, então contar com um parceiro especialista é uma das melhores coisas que você pode fazer.

Como prevenir o malware Zeus com a CrowdStrike

Há um eterno empurra-empurra entre as pessoas que criam software malicioso e as pessoas que protegem computadores, servidores e redes contra eles. No fundo, a segurança da informação nunca é tarefa de apenas uma pessoa. Verdadeiras práticas de segurança exigem pesquisa e conhecimento do mundo inteiro. É aí que entra a equipe de especialistas da CrowdStrike.

A plataforma CrowdStrike Falcon® oferece proteção de endpoint nativa em nuvem e de última geração por meio de um só agente leve e proporciona uma série de métodos complementares de prevenção e detecção. Para saber mais, entre em contato com nossa organização a fim de agendar uma demonstração ou fazer uma avaliação.