Een nieuwe variant van de Zeus Trojan gebruikt de internetverbinding van slachtoffers om hun bankrekeningen te plunderen. De malware werd onlangs door Oekraïense criminelen gebruikt om 415.000 dollar van het Amerikaanse Bullitt County te stelen. De gebruikte Zeus variant was van twee nieuwe features voorzien. De eerste stuurt de inloggegevens voor het internetbankieren meteen door naar de criminelen via instant messaging. De tweede maakt het mogelijk voor de aanvallers om op de rekening van het slachtoffer in te loggen via zijn eigen verbinding. Veel banken controleren het IP-adres van klanten om te zien of die overeenkomt met de geografische locatie waar het slachtoffer leeft. Aanvallers weten dankzij Zeus deze beveiligingsmaatregel te omzeilen.

In het geval van Bullitt County ging het om een complexe aanval waarbij zeker 25 katvangers aan deelnamen. Het bestuur van de county gebruikte twee verschillende geautoriseerde gebruikers, de penningmeester en een lokale rechter, voor het klaarzetten en doen van transacties. De aanvallers wisten het systeem van de penningmeester met het Trojaanse paard te infecteren. Vervolgens logden ze via zijn internetverbinding op de rekening van de County in. Daar wijzigden ze het wachtwoord en het e-mailadres van de rechter, zodat alle meldingen over de one-time passphrase bij de criminelen terecht zou komen.

Katvangers
Vervolgens maakten ze verschillende fictieve ambtenaren aan die voor de County werkten, waarbij ze de rekeningen van de katvangers gebruikten. Katvangers zijn personen die worden verleid tot het beschikbaar stellen van hun rekening en het geld dat daarop wordt gestort, moeten opnemen om het vervolgens via bijvoorbeeld Western Union, naar de aanvallers over te maken. De tweede stap van de aanval was het klaarzetten van de betalingen, allemaal tot 10.000 dollar of minder, om zo geen achterdocht bij de bank te wekken. De aanvallers logden daarna in op het banksysteem met de gegevens van de rechter om de klaargezette betalingen goed te keuren, die ze ook konden bevestigen omdat de one-time passphrase naar het net gewijzigde e-mailadres werd gestuurd.

Ook een aantal katvangers ging door de aanval het schip in. Ze waren via een vacaturesite door de criminelen als dataverwerker ingehuurd. Na een aantal weken vroegen de criminelen de katvangers of ze als tussenpersoon voor het verwerken van betalingen wilde fungeren. Hierbij mocht men 5% van alle transacties houden. Eén van de katvangers die 9700 dollar ontving en 9200 dollar overmaakte, zal dit bedrag nu zelf moeten vergoeden.