Zeus malware-botnet-variant upptäckt krypning Salesforce.com

Zeus Trojan, skadlig programvara som länge kändes för att stjäla bankuppgifter för att överlåta offrens medel, har upptäckts för att bli ännu en ödslig användning: svepa affärsdata från Salesforce.com.

Zeus-skadlig kod upptäcktes riktade mot en individs Windows-baserade dator för att komma in på Saleforce.com när offret loggade in, och samlade sedan snabbt in en stor mängd Salesforce-affärsdata genom en typ av webcrawl-handling, enligt Adallom, vars molnbaserad säkerhetsövervakningstjänst såg den pågående attacken mot en av sina kunder.

"Det tog två gigabyte data på mindre än 10 minuter," förklarar marknadsdirektör Tal Klein och konstaterar att det är första gången företaget har sett en variant av Zeus utnyttjas till denna typ av användning.

En cyberkriminell hade tydligen tagit lätt tillgänglig Zeus-kod och fäst en sökrobot till den, enligt Adallom, som delar sina resultat med Salesforce. I teorin kan Zeus också utrustas för att krypa över andra typer av programvara som tjänster.

+ Även i Network World: Hackare använder ett trick för att leverera Zeus banks malware +

Zeus är den bästa bank-trojanen, enligt Dell SecureWorks, som gjorde stora upptäckter om kriminellt opererade botnät baserade på skadlig programvara som går tillbaka till 2007. Arbor Networks presenterade nyligen en analys av en botnetversion, Gameover Zeus, vars verktygssats går till 2011. Zeus beskrivs ofta som sofistikerad bank-Trojan-skadlig programvara som kan utföra en mängd ekonomiskt inriktade attacker, som att ta tag i online-referenser och överlåta pengar i betalningssystem för att berika angripare som kör komplexa botnet-operationer som ofta involverar "pengarmulor" också.

Enligt den senaste rapporten från Dell SecureWorks, "Top Banking Botnets 2013", stod Zeus bank Trojan-varianter för ungefär hälften av allt banktyg som skadades 2013. SecureWorks påpekar att Zeus nu inte bara används för att attackera finansiella institutioner utan också lager handel, sociala nätverk och e-posttjänster, till exempel portaler för underhållning eller datering, till exempel.

Angripare verkar nu också använda Zeus för att använda Salesforce.com och eventuellt andra SaaS-applikationer i en typ av attack som Adallom hänvisar till som "landbrytning" och "rolladexing" för att greppa massor av affärsdata och kundinformation.

Adallom, vars tjänst inte litar på agentprogramvara men tittar på molntrafik, upptäckte den Zeus-relaterade aktiviteten på grund av den ovanliga mängden trafik som laddas ner från Salesforce till offrets dator.

Det var en mycket målinriktad attack på en individs hemdator, och ett exemplar av Zeus-varianten greps av den enligt Adallom, som säger att en undersökning pågår om det. Säkerhetsföretaget kan inte ge några svar på var angriparna är eller vad de tänker göra med Salesforce-uppgifterna de tar tag i.

Ellen Messmer är seniorredaktör på Network World, en IDG-webbplats, där hon täcker nyheter och tekniktrender relaterade till informationssäkerhet. Twitter: MessmerE. E-post: [email protected]

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.