Een nieuwe variant van de Zeus bot gebruikt de clouddiensten van Amazon om geïnfecteerde computers aan te sturen. De malware verspreidt zich via e-mail als kerstkaart en verwijst gebruikers naar een website. Daar wacht het bestand xmas2.exe, die na te zijn geopend contact maakt met de Command & Controle server, die zich in de Amazon EC2 clouddienst bevindt. Op het systeem zelf injecteert Zeus code in verschillende systeemprocessen en wacht totdat de gebruiker op zijn of haar bankrekening inlogt. "De groep achter deze criminele activiteiten doet dit duidelijk voor financieel gewin", zegt Methusela Cebrian Ferrer van virusbestrijder CA. Volgens haar laat deze nieuwe variant zien dat cloud on-demand diensten voor cybercrime zijn te gebruiken.

Camouflage
Volgens beveiligingsonderzoeker Dancho Danchev gebruiken de cybercriminelen de RDS managed database hosting service van Amazon als een backup in het geval ze toegang tot het originele domein verliezen, waardoor ze ook alle gestolen financiële informatie van de geïnfecteerde computers kwijtraken.

Het gebruik van legitieme clouddiensten voor command en control is vanuit de cybercriminelen gezien niet zo slim, in vergelijking met het gebruik van de diensten van internetproviders, die in de meeste gevallen abuse waarschuwingen negeren en niet met de beveiligingsindustrie samenwerken, zo merkt Danchev op. "Het gaat om het camoufleren van verkeer." Door kwaadaardige activiteiten in het verkeer tussen een besmette computer en legitieme clouddienst te verstoppen, wordt het lastiger om dit te blacklisten of te detecteren.