Der Online-Banking – Trojaner Zeuss betrügt, indem er sich in den Browser-Prozess einklinkt und dann die Web-Seiten der Bank passend manipuliert, berichtete heise.de. Die Experten von Kaspersky konnten beobachten, wie er in das Login-Formular eine zusätzliche JavaScript-Funktion einbaute,
die unter anderem die verwendeten Zugangsdaten an die Betrüger weiter leitete. Warum sich eine aktuelle Version diese Trojaners in 64 – Bit – Prozesse einklinkt erscheint den Experten allerdings noch rätselhaft, da die Zahl der Anwender, die einen nativen 64-Bit-IE einsetzen weit unter einem Prozent liegt. Daneben erscheint die Integration ins Anonymisierungsnetz TOR weitaus sinnvoller. So startet der Trojaner heimlich im Hintergrund einen lokalen TOR-Proxy. Alle Abrufe von Web-Seiten, die darüber erfolgen, werden über das TOR-Netz geleitet und lassen sich somit vom Web-Server aus nicht zurückverfolgen. So liefert Zeus dann auch ausspionierte Login-Daten bei einem Tor Hidden Service ab, der sich hinter der Onion-Adresse egzh3ktnywjwabxb.onion verbirgt. Derartige Onion-C&Cs sind schwer aufzuspüren und still zu legen. Darüber hinaus bieten kompromittierte PCs auch selbst einen versteckten TOR-Dienst an, mit dessen weitergeleiteter Adresse können die Macher die Zombies anonym via TOR fernsteuern. Neben Online – Banking greifen die Gauner Zugangsdaten, Zertifikate und ähnliches ab. Außer Bitcoin-Wallets finden sich auch Filezilla, WinSCP, Putty und OpenVPN auf der Liste der ausspionierten Programme.
