Wanneer je naar een oude Griekse god bent vernoemd, heb je een reputatie hoog te houden. Niemand had verwacht dat Zeus zo’n brutaal effect op de digitale wereld zou hebben, toen het in 2007 voor het eerst werd ontdekt. In 2009 werd Zeus echter een van de meest wijdverspreide malwares op het internet.
Zeus heeft meer dan 74.000 FTP-websiteaccounts gecompromitteerd en meer dan 3,6 miljoen computers geïnfecteerd. Deze malware infecteerde belangrijke netwerken zoals NASA, Amazon, Cisco en Oracle. Hackers gebruikten Zeus om financiële informatie te stelen van de Bank of America en het Department of Transportation.
De oorspronkelijke maker van Zeus gaf de broncode in 2011 openbaar vrij. Dit legde de basis voor talloze varianten van Zeus, waardoor het tot op de dag van vandaag een bedreiging vormt.
Wat is de Zeus Trojan?
Zeus Trojan malware, ook wel Zbot genoemd, wordt meestal gebruikt om gevoelige gegevens zoals financiële informatie te stelen. De malware is gericht op apparaten die gebruikmaken van het Microsoft Windows-besturingssysteem.
Hackers kunnen Zeus gebruiken om alle informatie die ze willen van een Windows-computer te stelen, en zelfs om de CryptoLocker-ransomware te installeren. Bovendien kunnen hackers de broncode gebruiken om hun eigen versies van Zeus te maken.
Zeus kan automatisch wachtwoorden verzamelen, bestanden downloaden, computers opnieuw opstarten of afsluiten, en systeembestanden verwijderen. Uiteindelijk zorgt dit ervoor dat uw computer crasht.
Hoe Zeus Computers Infecteert
Nieuwe varianten van Zeus zijn moeilijk te detecteren vanwege verschillende bestandsextensies, willekeurige headers en wijzigingen in de encryptie van de malware. De malware blijft sluimeren in de geïnfecteerde computer totdat u een van de gerichte websites bezoekt. Op dat moment wordt het virus actief en vraagt het om uw persoonlijke gegevens. Hackers verkopen de gestolen informatie vervolgens op de zwarte markt.
Zeus-malware kan computers infecteren via twee hoofdmethoden: drive-by downloads en spamberichten.
Spamberichten
Spamberichten komen meestal in de vorm van een e-mail of berichten op sociale media. Spamberichten zien er op het eerste gezicht legitiem uit. Het kan gaan om een uitnodiging voor een speciaal evenement, een vriendenverzoek op Facebook of een belangrijk bericht van uw bank.
Wanneer u op een link in de e-mail klikt, wordt u automatisch doorgestuurd naar een website die de malware installeert. De malware kan soms uw e-mail- en sociale-mediareferenties stelen en berichten verzenden vanaf uw account.
Drive-By Downloads
Een drive-by download is een onbedoelde download van kwaadaardige software naar uw computer of mobiele apparaat. U hoeft geen schadelijke e-mail te openen of op iets te klikken om geïnfecteerd te raken. De malware installeert zichzelf wanneer de gebruiker een kwaadaardige website bezoekt of een geïnfecteerd programma installeert. Een drive-by download maakt meestal gebruik van verouderde systemen met beveiligingslekken.
Wat het Zeus-virus doet met computers
Zeus-malware kan talloze dingen doen met geïnfecteerde computers, maar meestal heeft het twee hoofdfunctionaliteiten:
- Botnets-een netwerk van verbonden computers coördineren samen om een taak uit te voeren. Hackers maken soms gebruik van botnets om DDoS-aanvallen (Distributed Denial-of-Service) uit te voeren, spamberichten te versturen en gevoelige informatie te stelen.
- Trojan-Zeus voor financiële diensten wordt vaak gebruikt om inloggegevens van bankdiensten te stelen. De malware omzeilt de beveiliging van een bankwebsite om gebruikersactiviteiten te controleren. Wanneer gebruikers proberen in te loggen, registreert de malware hun inloggegevens. Soms kan Zeus zelfs twee-factor authenticatie omzeilen.
Oorspronkelijk trof de Zeus-malware alleen het Microsoft Windows-besturingssysteem, maar nieuwere versies infecteren ook mobiele apparaten van Android en BlackBerry.
Hoe Zeus-malware te voorkomen
Een beetje voorzichtigheid kan helpen voorkomen dat Zeus-malware uw computer infecteert. Hier volgt wat u kunt doen om uw apparaten te beschermen:
- Veilige internetpraktijken-veilig browsen is de eerste stap bij het voorkomen van een Zeus-infectie. Dit houdt in dat u wegblijft van potentieel gevaarlijke websites die illegale gratis softwaredownloads aanbieden. De eigenaren van deze websites hebben er meestal geen probleem mee malware op hun site te plaatsen. U moet ook vermijden op e-mail en sociale media links te klikken tenzij u deze berichten verwacht. Ook al is het bericht afkomstig van een legitieme bron, het kan worden aangetast door Zeus-malware.
- Bewerk uw antivirus – u kunt om de paar jaar nieuwe versies van Zeus verwachten, aangezien de broncode publiekelijk beschikbaar is. Alleen antivirussystemen die voortdurend worden bijgewerkt met nieuwe bedreigingen kunnen u echt beschermen tegen de Zeus-malware.
- Versterk de authenticatie – malware-aanvallen zijn meestal het gevolg van zwakke aanmeldgegevens. Meerfactorauthenticatie (MFA) kan onbevoegde toegang tot toepassingen voorkomen. Zorg ervoor dat al uw toepassingen, inclusief services van derden, MFA ondersteunen.
- Gebruik EDR-hulpprogramma’s (Endpoint Detection and Response) – EDR-hulpprogramma’s voorkomen dat verdachte bestanden worden uitgevoerd op endpointapparaten, door logbestanden en pakketten van endpoints te bewaken. Continue bewaking van endpoints helpt beveiligingsteams in real-time te reageren op malware-aanvallen.
- Training – Zorg voor regelmatige cyberbeveiligingstraining in uw organisatie. Leer medewerkers over de basisprincipes van goede beveiligingspraktijken, zoals het valideren van onbekende e-mailadressen, het vermijden van het klikken op koppelingen van onbekende bronnen en het waarschuwen van ondersteuning bij verdachte activiteiten.
Bekende Zeus-aanvallen
Er zijn duizenden Zeus-varianten op de markt. De Zeus malware familie omvat Trojaanse paarden zoals Gameover, SpyEye, Atmos, Floki en nog veel meer.
Gameover ZeuS
De Gameover malware is gemaakt door een Russische hacker met de naam Evgeniy Bogachev. Gameover Zeus gebruikt een versleutelde peer-to-peer communicatie om informatie te verzenden tussen zijn nodes en de controle server. Het virus legt de verbinding met de server zodra het kwaadaardige bestand zich op een computer installeert. Na installatie kan de malware bepaalde systeemprocessen uitschakelen, andere virussen downloaden en lanceren, of zelfs essentiële systeembestanden verwijderen.
Zeus Panda
In 2016 richtte de Zeus Panda-malware zich op online bankdiensten, loyaliteitsprogramma’s van luchtvaartmaatschappijen, online weddenschapsrekeningen in Europa en Noord-Amerika. Later dat jaar richtte Zeus Panda zich ook op Braziliaanse banken en andere online diensten. De malware richtte zich op Braziliaanse wetshandhavingswebsites, leveranciers van netwerkbeveiliging en e-commerce websites.
Floki Bot
Floki Bot is vernoemd naar een Braziliaanse hacker die bekend staat als “flokibot”. Het enige doel van Floki is financieel gewin. Hackers die Floki Bot aanvallen kiezen hun slachtoffers zeer methodisch, dat is waarom Floki malware veel effectiever is dan de originele Zeus. Bovendien kan Floki Bot, in tegenstelling tot Zeus, Point of Sale (POS)-systemen aanvallen, waardoor er geheel nieuwe manieren ontstaan om geld te graaien.
Conclusie
Zeus-malware heeft in relatief korte tijd miljoenen computers over de hele wereld geïnfecteerd. De broncode is nog steeds online beschikbaar en de hackersgemeenschap bespreekt, update en verbetert de malware voortdurend. Als gevolg daarvan zal Zeus nog jaren een bedreiging blijven vormen, ook al is de oorspronkelijke maker niet meer actief. Organisaties moeten begrijpen dat het Zeus-virus nog steeds bestaat en stappen ondernemen om hun financiën en gevoelige informatie te beschermen.