トロイの木馬であるZeusに関して、最近大きな動きがありました。それは、Zeusの作者が、無料でソースコードをSpyEyeの作者に譲渡したとの話題です。ユーザーは、これらの「合併」から生み出される高機能な新しいバンキングマルウェアに注意しなければなりません。
2006年以降、トロイの木馬であるZeusは私たちの興味を引き続けています。以下の表に、McAfee Labsが発見したZeusのバージョンについて纏めてみました。
しかし、最近になって状況は変化しているようです。中でも最も話題性の高いものは、著名なZeusとその主要なライバルであったSpyEyeの「合併」に関するものです。セキュリティ専門家のブライアン・クレブス(Brian Krebs)によると、Zeusの作者がオンラインの世界から引退し、無料でトロイの木馬のソースコードをSpyEyeの作者に譲渡したとのことです。その結果、数カ月以内に高機能な新しいバンキングマルウェアが売り出されることが予測されます。この新たな脅威には、両方の優れた機能と追加機能が組み込まれることになるでしょう。
クレブスは自身のブログで、この合併について述べています。彼は、「Harderman」と名乗るSpyEye作者による2010年10月13日の投稿を引用しています。その中でHardermanは、Zeusのソースコードが、その作者であるSlavikから無償で提供されたと主張しています。しかし、年100万米ドル以上を稼ぐHardermanが、SpyEyeが自分の成果ではないことを認めるとは思えません。また、このニュースについて、Slavikが何も発言していないことも奇妙といえるでしょう。
10月10日、SpyEyeの作者が、頻繁に出入りしていたさまざまなフォーラムの書き込みを削除したことで、問題はさらに混乱しました。
以下は、McAfee Labsが集めたスクリーンショットを使用して纏めたデータです。一番下の項目では、多くの業界と同様、合併により価格上昇が起きていることがわかります。
Zeusの話題が浮上した当初、UpLevelという組織が背後にいるという噂がありました。しかし、その後次第に、Zeusは1人の作者によるものだと思われるようになりました。2008年以降、多くのブログや文書でさまざまな偽名が発表されてきました。以下の時系列に、重要な出来事を纏めました。
以前から指摘されていることですが、ZeusとSpyEyeの販売者である可能性のある2人には、類似点が存在します。2009年、あるZeusの販売者は「magicz」という名前で知られていました。この人物が潜伏したと同時に、「magic」という名前の人物がSpyEyeの宣伝を始めました。同じ人物かどうかは確かではありませんが、言葉使いなどにいくつかの類似点があります。また、発光エネルギーを操る魔術師という2人のプロフィールの画像にも共通性を感じます。
今回のZeusとSpyEyeの合併は、好意的な合意による譲渡と見せかけていますが、実はSlavikの友人がSpyEyeを作成し、Slavikを追いやって口を封じているのかもしれません。また、Slavikの引退とHardermanのフォーラムからの一掃そのものが、世間を欺くための策略であることも考えられます。その場合、彼らは法執行機関から逃れるため、新しい偽名と連絡先を使って組織を再編している可能性があります。
いずれにせよ、Zeusの作者が自発的に引退したと考えるには時期尚早といえるでしょう。
関連記事
- [2011/04/18] 携帯端末を狙うZeusクライムウェア
- [2010/10/05] Zeusボットネットについて
- [2011/01/25] 「Zeus」+「SpyEye」-第2回:統合ツールキットが登場か
- [2011/03/22] 「Zeus」+「SpyEye」第3回:最新ケースの紹介
※本ページの内容はMcAfee Blogの抄訳です。
原文:Quiet Merger, Gang Warfare, or Mere Deception?
