元旦將至 Zeus病毒家族又出新變種

Cisco公司的Talos安全情報與研究小組在最近幾個月中和另外一家網路安全公司flashpoint密切合作分析了Floki木馬，研究發現Floki木馬就是臭名昭著的Zeus家族的最新變種，Zeus是一款眾所周知的銀行木馬，在葡萄牙語、英語和俄語區，2011年Zeus 2.0.8.9源代碼被泄露後，其家族繁衍的速度就難以控制了，Zeus還是當前許多針對桌面用戶的銀行木馬的基礎。跟Dridex或者其它網路注入木馬不同，Zeus利用瀏覽器中間人鍵盤日誌和形式抓取方式竊取客戶數據。

之所以說，Floki是最新的變種，是因為它的源代碼是基於Zeus源代碼開發的並且還包括一些新功能，比如防檢測功能。

Talos團隊稱：

該惡意軟體的特別之處就在於它並不是對Zeus木馬特點的簡單複製，而是通過增加一些比較先進的功能來讓其成為新一代的犯罪工具。經過不斷地更新，目前該木馬已具備了反檢測技術和使用Tor網路。n

Talos的惡意軟體研究人員在Floki中發現了一個新的源代碼，允許Tor網路實施威脅，但目前該功能似乎還不太好用。

在我們對Floki的分析過程中，發現其對泄露的Zeus源代碼中的點滴木馬文件(dropper)機制進行了修改，目的是使Floki更難以被檢測到。我們還發現了允許Floki使用Tor網路的新代碼。n

根據以下5個證據，Flashpoint的安全專家判定它的開發者應該就在巴西。

1.開發者的通訊語音使用的是葡萄牙語n2.目標系統的默認語言設置為葡萄牙語n3.軟體的域或IP範圍都定位在巴西n4. 默認時區設置的是Brazil UTC -03：00n5. Flashpoint分析師獲得的其他信息n

目前Flashpoint 已確定「flokibot」主要針對巴西、俄羅斯和英語區。PoS惡意軟體對零售業及酒店行業等產生的威脅非常嚴重，尤其是在元旦的消費高峰，所以消費者在刷卡時一定要注意安全。

註：本文參考來源於securityaffairs

推薦閱讀：