Zeus malware-botnet-variant zag Salesforce.com 'crawlen'

De Zeus Trojan, malware waarvan al lang bekend is dat het bankgegevens steelt om het geld van de slachtoffers over te hevelen, wordt gezien als een ander sluw gebruik: bedrijfsgegevens vegen van Salesforce.com.

Zeus-malware werd gedetecteerd die gericht was op de Windows-computer van een individu om toegang te krijgen tot Saleforce.com terwijl het slachtoffer inlogde, en verzamelde vervolgens snel een grote hoeveelheid Salesforce-bedrijfsgegevens via een soort web-crawling-actie, volgens Adallom, wiens cloudgebaseerde beveiligingsmonitoringservice zag de aanhoudende aanval op een van zijn klanten.

"Het pakte 2 gigabyte aan gegevens in minder dan 10 minuten", legt vicepresident Marketing Tal Klein uit, en merkt op dat het de eerste keer is dat het bedrijf een variant van Zeus voor dit soort gebruik ziet gebruiken.

Een cybercrimineel had blijkbaar direct beschikbare Zeus-code genomen en er een crawler aan toegevoegd, volgens Adallom, die zijn bevindingen deelt met Salesforce. In theorie zou Zeus kunnen worden aangepast om ook over andere soorten software-as-a-service-applicaties te kruipen.

+ Ook op Network World: Hackers gebruiken een truc om banksoftware van Zeus te leveren +

Zeus is volgens Trojan SecureWorks de belangrijkste trojan voor het bankwezen, die op basis van de malware uit 2007 grote ontdekkingen heeft gedaan over crimineel beheerde botnets. Arbor Networks heeft onlangs een analyse van een botnetversie, Gameover Zeus, gepresenteerd, waarvan de toolkit dateert uit 2011. Zeus wordt vaak omschreven als geavanceerde trojan-malware voor banken die een reeks financieel georiënteerde aanvallen kan uitvoeren, zoals het verkrijgen van online inloggegevens en het overhevelen van geld in betalingssystemen om aanvallers te verrijken die complexe botnet-operaties uitvoeren waarbij vaak ook 'geldmuilezels' betrokken zijn.

Volgens het recente Dell SecureWorks-rapport, "Top Banking Botnets van 2013", waren de trojan-varianten van Zeus banking goed voor ongeveer de helft van alle bankmalware die in 2013 werd gezien. SecureWorks wijst erop dat Zeus nu niet alleen wordt gebruikt om financiële instellingen aan te vallen, maar ook om handel, sociale netwerken en e-maildiensten, plus portalen voor bijvoorbeeld amusement of dating.

Aanvallers lijken Zeus nu ook in te zetten tegen Salesforce.com en mogelijk andere SaaS-applicaties in een soort aanval die Adallom 'landmining' en 'rolladexing' noemt om massa's bedrijfsgegevens en klantinformatie te verzamelen.

Adallom, wiens service niet afhankelijk is van agentsoftware maar naar cloudverkeer kijkt, ontdekte de Zeus-gerelateerde activiteit vanwege de ongebruikelijke hoeveelheid verkeer die van Salesforce naar de computer van het slachtoffer werd gedownload.

Het was een zeer gerichte aanval op de thuis-pc van een persoon, en een exemplaar van de Zeus-variant werd ervan afgepakt, aldus Adallom, die zegt dat er een onderzoek naar loopt. Het beveiligingsbedrijf kan geen antwoorden geven over waar de aanvallers zijn of wat ze van plan zijn te doen met de Salesforce-gegevens die ze verzamelen.

Ellen Messmer is senior redacteur bij Network World, een IDG-website, waar ze nieuws en technologische trends behandelt met betrekking tot informatiebeveiliging. Twitter: MessmerE. E-mail: [email protected]

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.