Si rincorrono in questi giorni su tutti i giornali del mondo le notizie sul più grande attacco informatico degli ultimi anni, come è stato definito quello scoperto da un ingegnere della NetWitness, la società statunitense che si occupa di sicurezza telematica e fornisce i propri servizi ad agenzie governative ed a numerose aziende. I numeri riportati dai media riferiscono di oltre 75.000 computer compromessi in 196 Paesi del mondo ed attribuiscono la causa ad uno spyware denominato Zeus, che sarebbe stato confezionato in qualche paese dell'est europeo.

Questa nuova botnet denominata Kneber evidenzia la modularità e le possibilità di re-impiego degli strumenti offerti dal "pacchetto" malware Zbot (alias Zeus), che ormai è ai primi posti tra le minacce della specie registrate per il 2009. Kneber, stando ai dati pubblicati da NetWitness avrebbe raccolto in un mese di operatività oltre 75 GB di dati contenenti insormazioni personali e credenziali di accesso a servizi on-line.

Occorre evidenziare, inoltre, che Zeus in realtà è un toolkit, disponibile dal 2007 e creato in Russia o in paesi che utilizzano quell'idioma (essendo scritto in cirillico); è molto apprezzato  nell'underground di Internet (dove è reperibile per pochi dollari) per la facilità di utilizzo e le possibilità che offre di catturare dati personali e critici dai sistemi compromessi.
Si installa sfruttando vulnerabilità non corrette sui sistemi o attraverso attacchi di social engeneering che inducono gli utenti a scaricare ed aprire file comprmessi. Un volta installato l'applicazione si connette ad un server di tipo command-and-control attraverso il protocollo HTTP, vincolando il sistema vittima alla botnet.

In sostanza Zeus offre un pacchetto software di facile utilizzo ed a buon mercato, facilmente migliorabile da utenti anche non-esperti, per creare nuove funzionalità e metodologie di attacco, sembre veicolabili mediante reti di computer "bot".
Secondo fonti autorevoli il 2% delle infezioni totali realizzate negli ultimi 12 mesi da Zeus sarebbe ai danni di sistemi presenti sul territorio nazionale.

Fonti del CERT-SPC, inoltre, riportano di un'ultima versione del malware che sarebbe utilizzata in queste settimane per condurre una "campagna di spam" indirizzata prevalentemente verso caselle appoggiate a domini governativi (.gov) e militari (.mil). I messaggi di posta sembrerebbero provenire dal National Intelligence Council ( Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. ) ed i destinatari sono indotti a visionare il documento allegato dal titolo "2020 Project."