国外媒体报道,英国安全企业Trusteer上周指出,黑客透过第二版Zeus僵尸网络打算在英国进行金融诈骗,随后另一安全厂商趋势科技则发现Zeus僵尸程序中含有杀毒软件厂商卡巴斯基(Kaspersky)的数位签章。趋势警告,这显示在恶意程序中嵌入数位签章以取信使用者或系统已逐渐成为攻击趋势。
Trusteer表示,Zeus僵尸网络约感染10万台电脑,其中有98%位于英国,黑客透过该僵尸网络蒐集了各种凭证,包括登入线上银行的帐号及登入资讯、信用卡或借贷卡号码,或是电子邮件、社交网络帐号、浏览器cookie,甚至是FTP密码等。
Trusteer CIO Amit Klein说,值得担心的是该僵尸网络并不只着眼于使用者的帐号与密码,藉由客户端的认证与cookie资料,黑客可以取得更多有关使用者的资讯并扩大所非法存取的使用者网络帐号。由于全球都存有不同版本的Zeus僵尸网络,使得Zeus已成为网络诈欺有史以来最普及的僵尸木马程序。
趋势科技则发现Zeus的可疑文件中含有来自卡巴斯基的数位签章,讽刺的是该数位签章原本是属于卡巴斯基僵尸病毒清除工具─ZbotKiller的,趋势表示黑客应是直接把ZbotKiller的数位签章拷贝到恶意文件中,但其用来验证使用者所收取的文件是否为原来文件的杂凑值(hash value)已过期且失效。
这并非是黑客首次窃取数位签章,数位签章是用来验证内容与来源的完整性,及防止使用者下载有害的文件,先前安全厂商发现攻击微软Windows Shell漏洞Stuxnet木马程序中就发现了来自瑞昱半导体(Realtek)与智微(JMicron)科技的程序码签章。
不过,eWeek引述卡巴斯基研究人员Roel Schouwenberg的说法指出,Zeus的作者并未实际窃取该公司的数位签章,而只是从其他文件复制了卡巴斯基的签章,因此这并非该公司的产品漏洞,而且该签章也是无效的。趋势科技则建议使用者最好仔细检查程序数位签章的内容以确保相关数位签章是有效的。