När man är uppkallad efter en gammal grekisk gud har man ett rykte att leva upp till. Ingen förväntade sig att Zeus skulle ha en så brutal effekt på den digitala världen när den upptäcktes för första gången 2007. År 2009 blev Zeus dock en av de mest utbredda skadliga programmen på Internet.
Zeus har äventyrat mer än 74 000 konton på FTP-webbplatser och infekterat mer än 3,6 miljoner datorer. Denna skadlig kod infekterade viktiga nätverk som NASA, Amazon, Cisco och Oracle. Hackare använde Zeus för att stjäla finansiell information från Bank of America och transportministeriet.
Den ursprungliga skaparen av Zeus släppte källkoden offentligt 2011. Detta lade grunden för att många varianter av Zeus skulle dyka upp, vilket gör den till ett hot än idag.
Vad är Zeus Trojan?
Zeus Trojan malware, även kallad Zbot, används vanligtvis för att stjäla känsliga uppgifter som finansiell information. Det skadliga programmet riktar sig till enheter som använder operativsystemet Microsoft Windows.
Hackerare kan använda Zeus för att stjäla vilken information som helst från en Windows-dator och till och med för att installera CryptoLocker ransomware. Dessutom kan hackare använda källkoden för att skapa egna versioner av Zeus.
Zeus kan automatiskt samla in lösenord, ladda ner filer, starta om eller stänga av datorer och radera systemfiler. Eventuellt orsaka att datorn kraschar.
Hur Zeus infekterar datorer
Nya varianter av Zeus är svåra att upptäcka på grund av olika filutvidgningar, slumpmässiga rubriker och ändringar i krypteringen av det skadliga programmet. Det skadliga programmet förblir vilande i den infekterade datorn tills du besöker en av de målinriktade webbplatserna. Det är då viruset blir aktivt och begär dina personuppgifter. Hackare säljer sedan den stulna informationen på den svarta marknaden.
Zeus malware kan infektera datorer genom två huvudsakliga metoder – drive-by downloads och skräppostmeddelanden.
Spammeddelanden
Spammeddelanden kommer vanligtvis i form av ett e-postmeddelande eller inlägg i sociala medier. Spammeddelanden ser legitima ut vid första anblicken, det kan vara en inbjudan till ett speciellt evenemang, en vänförfrågan på Facebook eller ett viktigt meddelande från din bank.
När du klickar på en länk i e-postmeddelandet kommer du automatiskt till en webbplats som installerar skadlig kod. Det skadliga programmet kan ibland stjäla dina inloggningsuppgifter för e-post och sociala medier och skicka meddelanden från ditt konto.
Drive-By Downloads
En drive-by download är en oavsiktlig nedladdning av skadlig programvara till din dator eller mobila enhet. Du behöver inte öppna ett skadligt e-postmeddelande eller klicka på något för att bli smittad. Den skadliga programvaran installeras när användaren besöker en skadlig webbplats eller installerar ett infekterat program. En drive-by download utnyttjar vanligtvis föråldrade system med säkerhetsbrister.
Vad Zeus-viruset gör med datorer
Zeus malware kan göra många saker med infekterade datorer, men vanligtvis har det två huvudfunktioner:
- Botnät – ett nätverk av anslutna datorer som samordnas för att utföra en uppgift. Hackare utnyttjar ibland botnät för att utföra DDoS-attacker (Distributed Denial-of-Service), skicka skräppost och stjäla känslig information.
- Trojan för finansiella tjänster – Zeus används ofta för att stjäla uppgifter från banktjänster. Det skadliga programmet tar sig runt säkerheten på en bankwebbplats för att övervaka användarnas aktivitet. När användarna försöker logga in registrerar skadlig kod deras autentiseringsuppgifter. Ibland kan Zeus även kringgå tvåfaktorsautentisering.
Ursprungligen påverkade Zeus malware endast operativsystemet Microsoft Windows, men nyare versioner infekterar även Android- och BlackBerry-mobilenheter.
Hur man förhindrar Zeus malware
Med lite försiktighet kan man förhindra att Zeus malware infekterar din dator. Här är vad du kan göra för att skydda dina enheter:
- Säkra internetrutiner – säker surfning är det första steget för att förhindra Zeus-infektion. Detta inkluderar att hålla sig borta från potentiellt farliga webbplatser som erbjuder olagliga nedladdningar av gratisprogram. Ägarna till dessa webbplatser har vanligtvis inga problem med att hysa skadlig kod på sin webbplats. Du bör också undvika att klicka på länkar i e-post och sociala medier om du inte förväntar dig dessa meddelanden. Även om meddelandet kommer från en legitim källa kan det påverkas av Zeus malware.
- Uppdatera ditt antivirusprogram – du kan förvänta dig att nya versioner av Zeus dyker upp med några års mellanrum, eftersom källkoden är allmänt tillgänglig. Endast antivirus som ständigt uppdateras med nya hot kan verkligen skydda dig från Zeus malware.
- Stärk autentisering – angrepp på skadlig kod är vanligtvis resultatet av svaga autentiseringsuppgifter. Flerfaktorsautentisering (MFA) kan förhindra obehörig åtkomst till program. Se till att alla dina program, inklusive tjänster från tredje part, har stöd för MFA.
- Använd EDR-verktyg (Endpoint Detection and Response) – EDR-verktyg förhindrar att misstänkta filer körs på slutpunktsenheter genom att övervaka slutpunktsloggar och paket. Kontinuerlig övervakning av slutpunkter hjälper säkerhetsteam att reagera på attacker av skadlig programvara i realtid.
- Utbildning – genomför regelbunden cybersäkerhetsutbildning i din organisation. Utbilda de anställda om grunderna för goda säkerhetsrutiner som att validera okända e-postadresser, undvika att klicka på länkar från okända källor och varna supporten för all misstänkt aktivitet.
Kända Zeus-attacker
Det finns tusentals Zeus-varianter där ute. Familjen av Zeus malware omfattar trojaner som Gameover, SpyEye, Atmos, Floki och många fler.
Gameover ZeuS
Det skadliga programmet Gameover skapades av en rysk hackare vid namn Evgeniy Bogachev. Gameover Zeus använder en krypterad peer-to-peer-kommunikation för att överföra information mellan sina noder och kontrollservern. Viruset upprättar anslutningen till servern så snart den skadliga filen installeras på en dator. Efter installationen kan det skadliga programmet inaktivera vissa systemprocesser, ladda ner och starta andra virus eller till och med radera viktiga systemfiler.
Zeus Panda
Under 2016 riktade sig det skadliga programmet Zeus Panda mot banktjänster på nätet, lojalitetsprogram för flygbolag och konton för onlinespel i Europa och Nordamerika. Senare samma år riktade sig Zeus Panda även mot brasilianska banker och andra onlinetjänster. Det skadliga programmet riktade sig mot brasilianska webbplatser för brottsbekämpning, leverantörer av nätverkssäkerhet och webbplatser för e-handel.
Floki Bot
Floki Bot är uppkallad efter en brasiliansk hackare som är känd som ”flokibot”. Det enda syftet med Floki är ekonomisk vinning. Hackare som utför Floki Bot-attacker väljer sina offer mycket metodiskt, vilket är anledningen till att Floki malware är mycket effektivare än den ursprungliga Zeus. Till skillnad från Zeus kan Floki Bot dessutom angripa POS-system (Point of Sale), vilket öppnar upp helt nya vägar för att ta pengar.
Slutsats
Zeus malware har infekterat miljontals datorer runt om i världen på en relativt kort tidsperiod. Källkoden finns fortfarande tillgänglig på nätet och hackergemenskapen diskuterar, uppdaterar och förbättrar ständigt det skadliga programmet. Som ett resultat av detta kommer Zeus att fortsätta att vara ett hot i många år framöver, även om den ursprungliga skaparen inte längre är verksam. Organisationer måste förstå att Zeus-viruset fortfarande finns där ute och vidta åtgärder för att skydda sina finanser och känslig information.