Begin juli werd bekend dat de Zeus Trojan bankrekeningen via de internetverbinding van zijn slachtoffer plundert of de inloggegevens via instant messaging software meteen doorstuurt naar de aanvallers. RSA laat nu weten dat de criminelen hiervoor Jabber gebruiken. De virusschrijvers hebben in dit geval de Jabber IM module direct in het Trojaanse paard verwerkt. Ze gebruiken hiervoor twee accounts, één voor het versturen van de gestolen inloggegevens en één voor het ontvangen ervan. Jabber is erg geliefd onder cybercriminelen, zo gebruikt de Sinowal bende de IM-software al sinds vorig jaar.

Voorheen stuurde Zeus gestolen informatie naar een "drop" server. Daar waren de gegevens niet altijd direct benaderbaar voor de crimineel in kwestie, een probleem wat met Instant Messaging omzeild wordt. Een ander voordeel is dat de criminelen zo weten wanneer een slachtoffer online en aan het bankieren is. Men kan dan direct op de computer van het slachtoffer inloggen en zo andere overschrijvingen doen. Deze man-in-the-middle en man-in-the-browser technieken worden steeds populairder, zo merkt RSA op.

Marktplaats
Zeus is volgens Symantec inmiddels het grootste botnet van het moment, mede veroorzaakt door het gemak waarmee de Zeus toolkit werkt en wordt aangeboden. Ondanks het feit dat de software illegaal is, wordt die openlijk op allerlei fora besproken en verkocht. Het aantal infecties is sinds februari weer aan het stijgen en bereikte in juli een hoogtepunt. Dat geldt ook voor het aantal unieke Zeus exemplaren, dat er inmiddels meer dan 70.000 zijn. Verder zijn zeker 154.000 computers met de malware besmet, maar het werkelijke aantal ligt waarschijnlijk veel hoger. Twee procent van alle met Zeus geïnfecteerde machines staat in Nederland. De virusbestrijder maakte deze video die laat zien hoe Zeus precies werkt.