Антивирусная компания Symantec обращает внимание, что в официальном списке рекомендуемого ПО для начинающих участников Anonymous более месяца находится программа, заражённая трояном Zeus. Поскольку данный список широко разошёлся по твиттеру и форумам, говорят специалисты, можно предположить самое худшее. Вполне возможно, что десятки или сотни начинающих «хакеров» установили на свой компьютер троянскую программу и стали частью ботнета Zeus.
Symantec отследила, откуда началось распространение инфекции. Всё началось 20 января, в день закрытия Megaupload и ареста основателей сайта — тогда же поднялось волна народного возмущения с целью отомстить ФБР. В этот день некий бессовестный злоумышленник взял старое сообщение Pastebin (от 1 мая 2011 года) со ссылкой на программу Slowloris, которая используется для проведения DDoS-атак, и немножко изменил текст: вместо ссылки на нормальную программу он поставил ссылку на программу, заражённую трояном Zeus.
На скриншоте вверху показана оригинальная ссылка на Slowloris (сообщение от 1 мая 2011 года), а внизу — ссылка на заражённую версию (20 января 2012 года).
Злоумышленник постарался максимально распространить новый вариант Pastebin-документа по форумам. Каким-то образом ему удалось добиться, что ссылка на заражённую версию попала в официальный список WEAPONS с подборкой различных программ, полезных для начинающего хактивиста.
На информационной волне ссылка на этот «набор новичка» широко распространилась по форумам. Количество просмотров документа превысило 26 000, а ссылка упоминалась в твиттере более 400 раз.
Сколько начинающих Anonymous пополнили ряды участников ботнета — неизвестно. Но что они потеряли анонимность — это уж точно, потому что Zeus пересылает на удалённый сервер файлы cookies, идентификационные данные от банковских сервисов, почтовых аккаунтов и др.
