Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è il malware Zeus Trojan (Zbot)?
Cybersecurity 101/Sicurezza informatica/Zeus Trojan Malware

Che cos'è il malware Zeus Trojan (Zbot)?

Il malware Zeus Trojan intercetta le credenziali bancarie prima che la cifratura le protegga. Questa guida illustra come funziona il malware Zeus, i suoi componenti principali e le strategie di rilevamento. Scoprirai gli attacchi man-in-the-browser, le tecniche di iniezione in memoria e come creare regole di rilevamento per le minacce derivate da Zeus che prendono di mira la tua azienda.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è il malware Zeus Trojan?
Cosa distingue Zeus Trojan dagli altri malware
Varianti di Zeus Trojan e la famiglia malware
Come Zeus Trojan si collega alla cybersecurity
Impatto del malware Zeus sulle organizzazioni
Come funziona il malware Zeus Trojan
Componenti principali del malware Zeus
Funzionalità chiave del malware Zeus
Come si diffonde Zeus Trojan
Indicatori di compromissione (IOC) per infezioni Zbot
Come rilevare il malware Zeus Trojan
Come rimuovere il malware Zeus dai sistemi
Best practice per prevenire gli attacchi Zeus Trojan
Blocca le minacce Zeus Trojan con SentinelOne
Punti chiave

Articoli correlati

  • Checklist CMMC: Guida alla preparazione dell’audit per i contractor DoD
  • Cos'è il Regolamento DORA? Quadro di Resilienza Digitale dell'UE
  • Cos'è la Session Fixation? Come gli attaccanti dirottano le sessioni utente
  • Ethical Hacker: Metodi, Strumenti e Guida al Percorso Professionale
Autore: SentinelOne
Aggiornato: January 5, 2026

Che cos'è il malware Zeus Trojan?

Quando inserisci la tua password bancaria in quello che sembra un sito web legittimo, Zeus cattura quei dati direttamente dal tuo browser a livello applicativo, prima che la protezione SSL/TLS li cripti per la trasmissione al server. Zeus ha stabilito l'architettura fondamentale per il cybercrime finanziario come trojan bancario che intercetta le credenziali a livello browser prima che avvenga la cifratura. Secondo il Dipartimento di Giustizia degli Stati Uniti, le operazioni Zeus hanno sottratto 3 milioni di dollari da un singolo gruppo criminale informatico solo nei casi perseguiti.

Il malware è emerso nel 2007 e ha definito l'architettura che i trojan bancari moderni utilizzano ancora oggi. L'FBI ha documentato che GameOver Zeus da solo ha infettato 3,6 milioni di PC negli Stati Uniti entro il 2009, prima che le forze dell'ordine interrompessero la botnet nel 2014. Anche se Zeus non compare nel rapporto CIS Top 10 Malware Q1 2025, il suo DNA tecnico vive nelle minacce attuali. Stai affrontando trojan bancari derivati da Zeus che hanno adottato il suo approccio pionieristico man-in-the-browser e l'architettura modulare.

Zeus Malware - Featured Image | SentinelOne

Cosa distingue Zeus Trojan dagli altri malware

Zeus ha introdotto gli attacchi man-in-the-browser (MitB) che intercettano i dati a livello applicativo. Dove i keylogger si limitano a registrare le sequenze di tasti, Zeus modifica il traffico web in tempo reale. Quando carichi il sito della tua banca, Zeus inietta codice malevolo direttamente nella pagina prima che tu la visualizzi. L'interfaccia appare identica al sito legittimo perché è il sito legittimo, con il codice di Zeus sovrapposto in modo invisibile.

Quando Zeus opera sul tuo sistema, intercetta e cattura i dati dei moduli all'interno del browser prima che avvenga la cifratura. Il tuo certificato SSL risulta verde e valido, e la connessione cifrata rimane sicura. Tuttavia, Zeus raccoglie ogni credenziale inserita a livello applicativo, sul sistema compromesso, prima che il browser inizi la cifratura.

Varianti di Zeus Trojan e la famiglia malware

Stai affrontando più generazioni di trojan bancari derivati da Zeus.

Prima generazione (2007-2011):

  • Zeus (2007): Ha introdotto l'architettura MitB e form-grabbing
  • GameOver Zeus (2011): CISA conferma che la variante P2P ha eliminato i server C2 centralizzati, rendendo le operazioni di takedown significativamente più difficili
  • Citadel (2011): Emerso come trojan bancario "open-source" per la personalizzazione criminale
  • Zeus Mobile (Zitmo): Esteso alle piattaforme mobili per la cattura dei codici di autenticazione a due fattori

Successori (2014-2016):

  • Dridex (2014): Distribuito tramite campagne di spam
  • Dyre (2014): Dotato di capacità di bypass HTTPS
  • Trickbot (2016): Variante di Dyre con configurazioni online e architettura modulare

Secondo il Cloud and Threat Report 2025 di Netskope, derivati di Zeus come Zusy (TinyBanker) sono ancora attivi e continuano a colpire le credenziali bancarie tramite tecniche di code injection introdotte da Zeus.

Come Zeus Trojan si collega alla cybersecurity

Il rilevamento basato su firme fatica contro Zeus perché le tecniche di evasione del malware, inclusa la cifratura polimorfica nella versione 1.4 che rende ogni infezione unica, rendono insufficienti le firme antivirus tradizionali. I team di sicurezza devono implementare il rilevamento AI comportamentale e strategie di defense-in-depth per contrastare le minacce in evoluzione.

Comprendere queste implicazioni per la cybersecurity aiuta a costruire difese, ma quantificare i danni organizzativi rivela perché le minacce derivate da Zeus richiedono attenzione prioritaria.

Impatto del malware Zeus sulle organizzazioni

Quando Zeus compromette la tua organizzazione, affronti impatti a cascata oltre l'infezione iniziale. Il malware ruba credenziali bancarie tramite attacchi man-in-the-browser, raccoglie credenziali email aziendali abilitando il business email compromise e cattura credenziali VPN. Secondo l'analisi tecnica di IOActive, Zeus crea file nascosti in \windows\system32\lowsec\ con eseguibili cifrati che sfuggono al rilevamento.

I costi di incident response aumentano. Secondo l'Office of the Comptroller of the Currency, le istituzioni finanziarie devono fornire una notifica tempestiva di incidenti informatici significativi ai regolatori bancari federali.

Il furto di credenziali crea un problema di compromissione dell'identità che persiste oltre l'infezione da malware. Secondo la guida di incident response di SpyCloud, la sola rimozione del malware lascia le credenziali rubate attive per l'uso da parte degli attaccanti, consentendo il dispiegamento di  ransomware o accesso persistente settimane dopo la rilevazione e la rimozione.

Per difendersi efficacemente da questi impatti, è necessario comprendere esattamente come Zeus esegue la sua catena di attacco dall'infezione iniziale fino all'esfiltrazione delle credenziali.

Come funziona il malware Zeus Trojan

Zeus raggiunge i tuoi endpoint tramite exploit kit che distribuiscono drive-by download, campagne di phishing con allegati malevoli e siti web legittimi compromessi che veicolano malware. Una volta avviata l'esecuzione, Cisco Talos Intelligence documenta un pattern di escalation rapido.

Timeline post-infezione:

  • Millisecondi: Richiesta HTTP GET al server C2
  • Millisecondi a secondi: Download del blob di configurazione binaria (risposta C2)
  • Secondi: File di configurazione distribuito sul sistema
  • Secondi: Il malware si registra con richieste HTTP POST abbinate
  • Continuo: Raccolta credenziali tramite keylogging, form grabbing, web injection

Il dropper estrae il bot principale Zeus nella posizione di memoria 0x00b70000 con protezione PAGE_EXECUTE_READWRITE. Il bot principale stabilisce la persistenza nella directory di sistema di Windows, creando file nascosti per la memorizzazione delle sequenze di tasti, dati di configurazione e l'eseguibile cifrato del bot. Secondo l'analisi tecnica di IOActive, Zeus aggancia la funzione API NtQueryDirectoryFile per nascondere i file su disco durante l'ispezione del file system.

Questa rapida progressione dell'attacco dipende dall'architettura modulare di Zeus, che consente ai criminali di aggiornare singole funzionalità senza reinfettare i sistemi compromessi.

Componenti principali del malware Zeus

Comprendere ogni componente aiuta a identificare opportunità di rilevamento lungo la catena di attacco.

  • File system nascosto: Zeus opera da \windows\system32\lowsec\ con file nascosti per la memorizzazione delle sequenze di tasti (user.ds), configurazione (local.ds) e l'eseguibile cifrato del bot. Zeus aggancia NtQueryDirectoryFile per nascondere questi file agli strumenti di rilevamento standard.
  • Infrastruttura di comando e controllo: Zeus tradizionale utilizzava C2 centralizzato con HTTP GET/POST per configurazione ed esfiltrazione. GameOver Zeus ha eliminato questa debolezza con architettura P2P in cui i sistemi infetti comunicano direttamente, rendendo i takedown significativamente più difficili secondo CISA.
  • Moduli di iniezione browser: Zeus mantiene moduli specifici per Firefox, Chrome e IE che catturano i dati dei moduli prima della cifratura e iniettano contenuti malevoli nelle pagine bancarie. Gli aggiornamenti del file di configurazione consentono di colpire nuove banche senza richiedere la reinfezione dei sistemi compromessi.

Questi componenti architetturali abilitano le capacità di attacco principali di Zeus che compromettono direttamente le tue credenziali bancarie e i dati finanziari.

Funzionalità chiave del malware Zeus

  • Form Grabbing: Il malware intercetta i dati a livello applicativo mentre completi i moduli web. Quando inserisci il tuo nome utente, Zeus cattura quei dati prima che il browser li cripti per la trasmissione. Questo avviene indipendentemente dall'implementazione della sicurezza del sito perché Zeus opera dal lato dell'utente nel processo di cifratura.
  • Web Injection: Zeus modifica i siti bancari in tempo reale iniettando JavaScript e HTML malevoli nelle pagine legittime. Visualizzi campi aggiuntivi che richiedono informazioni che la tua banca non richiede mai. Questi campi iniettati appaiono identici all'interfaccia legittima perché Zeus replica esattamente lo stile della banca.
  • Keylogging: La cattura completa delle sequenze di tasti fornisce una raccolta di credenziali di backup quando il form grabbing fallisce. Zeus registra ogni sequenza di tasti tramite hook a livello kernel, memorizzando i dati nel file nascosto user.ds con screenshot per ulteriore contesto.
  • Esfiltrazione delle credenziali: Zeus impacchetta le credenziali rubate e le trasmette tramite richieste HTTP POST all'infrastruttura C2. Secondo Cisco Talos Intelligence, le richieste POST del malware utilizzano nomi file identici, consentendo agli operatori di correlare le sessioni e ricostruire i profili utente.

Queste funzionalità rendono Zeus devastante una volta installato, motivo per cui comprendere i suoi metodi di propagazione aiuta a bloccare le infezioni prima che inizi il furto di credenziali.

Come si diffonde Zeus Trojan

La propagazione di Zeus si basa sull'ingegneria sociale piuttosto che su comportamenti worm automatizzati.

  • Campagne di phishing: L'allerta Zeus di CISA del marzo 2010 ha documentato campagne di phishing diffuse che impersonavano FBI, IRS e principali istituzioni finanziarie. L'ingegneria sociale sfruttava l'urgenza per indurre i destinatari a cliccare prima di valutare la legittimità.
  • Exploit kit: Gli operatori di Zeus hanno distribuito il malware tramite infrastrutture di exploit kit che automatizzavano lo sfruttamento delle vulnerabilità del browser. Visitando un sito compromesso, l'exploit kit profilava il browser e forniva exploit mirati a vulnerabilità non patchate.
  • Siti web legittimi compromessi: La propagazione di Zeus sfruttava spesso siti affidabili piuttosto che infrastrutture palesemente malevole. Gli utenti visitavano domini familiari e ricevevano infezioni Zeus da siti di cui non sospettavano nulla.
  • Distribuzione di payload secondari: Le operazioni GameOver Zeus distribuivano CryptoLocker ransomware insieme al furto di credenziali. Quando rimuovi Zeus, indaga su eventuali minacce persistenti aggiuntive.

Una volta che Zeus si infiltra nel tuo ambiente tramite questi vettori, hai bisogno di indicatori affidabili per rilevare infezioni attive prima che l'esfiltrazione delle credenziali sia completata.

Indicatori di compromissione (IOC) per infezioni Zbot

Hai bisogno di rilevamento comportamentale e indicatori basati sulla rete perché la cifratura polimorfica di Zeus rende ogni infezione unica, rendendo impraticabile il rilevamento basato su firme.

  1. Pattern comportamentali di rete: Secondo Cisco Talos Intelligence, Zeus mostra pattern di traffico distintivi: richieste HTTP GET ricevono blob di configurazione binari con Content-Type application/octet-stream, seguite immediatamente da richieste HTTP POST abbinate per completare la registrazione.
  2. Artefatti forensi in memoria: Utilizzando il framework Volatility, cerca regioni di memoria privata con protezione PAGE_EXECUTE_READWRITE nella posizione 0x00b70000, dove Zeus estrae la sua immagine bot principale.
  3. Comportamenti mappati MITRE ATT&CK: Monitora la raccolta di informazioni di sistema tramite comandi cmd /c systeminfo (T1082), traccia le modifiche al registro che creano meccanismi di persistenza e hooking API per la furtività, osserva attività di keylogging e form grabbing, monitora injection di processi ed esecuzione in memoria, e correla i pattern di beaconing HTTP.
  4. Principio di rilevamento: Correlare questi indicatori individuali perché Zeus mostra molteplici comportamenti sospetti in pattern coordinati piuttosto che incidenti isolati. Il rilevamento comportamentale focalizzato sulle azioni malevole è più efficace del rilevamento basato su firme contro le varianti polimorfiche di Zeus.
  5. Hash di campioni verificati: ANY.RUN e MalwareBazaar mantengono repository di campioni Zeus confermati. L'hash SHA-256 18022d8613b4c36e502f9962ce27d4bb9f099d5659d44f82683b63f704873dcf rappresenta una variante Zeus confermata con caratteristiche di infezione osservabili. Tuttavia, il rilevamento basato su hash fornisce solo valore puntuale perché le varianti polimorfiche generano nuovi hash a ogni infezione.

Sapere cosa cercare è solo metà della sfida. Tradurre questi IOC in rilevamento attuabile richiede gli strumenti e le metodologie giuste.

Come rilevare il malware Zeus Trojan

Il rilevamento basato su firme fallisce contro Zeus a causa delle molteplici tecniche di evasione. Secondo Secureworks, Zeus versione 1.4 ha introdotto la cifratura polimorfica, rendendo ogni infezione unica.

  • Requisiti di analisi comportamentale: Implementa  rilevamento endpoint che monitora le azioni dei processi kernel e i pattern di utilizzo della memoria. Zeus mostra comportamenti specifici che persistono tra le varianti: hooking API per la furtività, injection in memoria per l'esecuzione, form grabbing per l'intercettazione delle credenziali bancarie e keylogging. Il  Behavioral AI Engine di SentinelOne monitora le azioni dei processi a livello kernel per individuare varianti Zeus indipendentemente dalla cifratura polimorfica.
  • Analisi del traffico di rete: Il comportamento di beaconing verso l'infrastruttura C2 fornisce un rilevamento affidabile. Zeus deve comunicare con server esterni per ricevere configurazioni ed esfiltrare credenziali. Le funzionalità di  threat intelligence consentono il rilevamento delle comunicazioni C2 di Zeus tramite l'analisi dei pattern di traffico.
  • Endpoint Detection and Response: Il tuo  XDR deve fornire visibilità su injection di processi, caricamento DLL e comportamenti di hooking API.

Quando il rilevamento conferma la presenza di Zeus nel tuo ambiente, la rimozione rapida e completa diventa fondamentale per limitare l'esposizione delle credenziali.

Come rimuovere il malware Zeus dai sistemi

La rimozione di Zeus richiede il reset completo delle credenziali insieme all'eradicazione del malware. Il malware stesso è solo metà del problema perché le credenziali rubate rimangono valide dopo la rimozione.

  • Contenimento immediato: Isola i sistemi infetti dalla rete prima di iniziare la rimozione. Blocca i domini C2 di Zeus ai perimetri DNS e firewall.
  • Preservazione forense: Acquisisci dump di memoria prima dello spegnimento del sistema. Utilizza il framework Volatility per analizzare gli indicatori di injection di processo.
  • Eradicazione del malware: Implementa soluzioni EDR con monitoraggio comportamentale a livello kernel per individuare le tecniche di evasione di Zeus. Le capacità di risposta autonoma di SentinelOne rimedia alle infezioni Zeus a velocità macchina, con  Ransomware Rollback che ripristina i sistemi allo stato pre-attacco.
  • Rimedi di identità: Reimposta le password per tutte le applicazioni a cui si è acceduto dal dispositivo infetto. Invalida tutte le sessioni web e i token di autenticazione.
  • Validazione e monitoraggio: Verifica la completa rimozione del malware tramite metodi di scansione multipli. Monitora i sistemi interessati per oltre 30 giorni per indicatori di reinfezione.

La rimozione reattiva affronta le infezioni immediate, ma prevenire che Zeus ottenga un primo accesso offre un valore di sicurezza molto maggiore.

Best practice per prevenire gli attacchi Zeus Trojan

La prevenzione di Zeus richiede un'architettura defense-in-depth perché nessun singolo controllo blocca in modo affidabile i trojan bancari.

  • Segmentazione della rete: Segmenta la rete in modo che le workstation non possano accedere direttamente ai server contenenti dati sensibili.
  • Zero Trust Architecture: Applica i principi della  zero trust architecture NIST SP 800-207 che trattano ogni richiesta di accesso come non attendibile indipendentemente dalla posizione di rete.
  • Autenticazione multi-fattore con monitoraggio delle sessioni: MFA offre protezione richiedendo due o più forme di verifica prima dell'accesso all'account. Tuttavia, Zeus utilizza tecniche man-in-the-browser che possono bypassare l'autenticazione basata sulla sessione, rendendo la sola MFA insufficiente.
  • Sistemi di rilevamento comportamentale: Implementa protezione endpoint oltre i metodi basati su firme. Zeus mostra pattern comportamentali specifici che i sistemi comportamentali rilevano indipendentemente dalle firme del codice.
  • Infrastruttura di monitoraggio continuo: Implementa il monitoraggio continuo dei pattern C2 di Zeus prima che avvenga l'esfiltrazione delle credenziali.  Purple AI di SentinelOne utilizza il linguaggio naturale per semplificare le indagini sulle minacce e accelera le operazioni di sicurezza con analisi AI, auto-sommari e query suggerite per il threat hunting.
  • Conformità normativa: Le istituzioni finanziarie devono segnalare gli incidenti secondo CIRCIA e implementare i controlli del NIST Cybersecurity Framework.

L'implementazione di queste best practice crea una solida base difensiva, ma i trojan bancari moderni richiedono capacità di rilevamento e risposta altrettanto moderne.

Blocca le minacce Zeus Trojan con SentinelOne

Individuare e bloccare le varianti Zeus richiede il monitoraggio delle azioni dei processi kernel e dei pattern di utilizzo della memoria indipendentemente dall'offuscamento del codice. Il Behavioral AI Engine di SentinelOne offre questa capacità osservando i comportamenti di processi e file, individuando Zeus tramite le sue azioni piuttosto che tramite le firme del codice. La piattaforma registra automaticamente i dettagli forensi nel Singularity Data Lake.

La  Singularity Platform di SentinelOne offre capacità di risposta autonoma che individuano e bloccano le minacce prima che si verifichi un furto significativo di credenziali. Più motori di rilevamento AI lavorano insieme per fornire protezione a velocità macchina contro attacchi runtime, inclusa l'analisi comportamentale che identifica pattern sospetti di attività dei processi.

  • Rilevamento comportamentale delle minacce: Lo Static AI Engine di SentinelOne è addestrato su oltre mezzo miliardo di campioni malware e ispeziona le strutture dei file per caratteristiche malevole, mentre il Behavioral AI Engine valuta intenti e comportamenti malevoli in tempo reale senza intervento umano.
  • Risposta autonoma e rollback: La Singularity Platform di SentinelOne rimedia agli endpoint a velocità macchina senza intervento umano. Ransomware Rollback consente alle organizzazioni di ripristinare i dati a uno stato precedente all'attacco.
  • Indagine forense Storyline: La tecnologia brevettata  Storyline di SentinelOne monitora, traccia e contestualizza automaticamente i dati degli eventi in tutto l'ambiente aziendale per ricostruire gli attacchi in tempo reale, correlando eventi correlati senza analisi manuale.
  • Indagini accelerate con Purple AI: Purple AI utilizza il linguaggio naturale per semplificare le indagini sulle minacce, fornisce analisi AI e offre insight attuabili. Accelera le operazioni di sicurezza con auto-sommari e query suggerite per un threat hunting più rapido.

SentinelOne blocca autonomamente le varianti Zeus con il rilevamento AI comportamentale. Richiedi una demo di SentinelOne per provarlo nel tuo ambiente.

Piattaforma Singularity

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Punti chiave

Zeus ha stabilito l'intercettazione delle credenziali a livello browser come tecnica dominante nelle minacce bancarie moderne. Implementa sistemi di rilevamento comportamentale che identificano azioni malevole indipendentemente dalle firme del codice perché la cifratura polimorfica di Zeus sconfigge gli antivirus tradizionali. 

Quando Zeus compromette i tuoi sistemi, la rimozione del malware risolve solo metà del problema; la completa remediation richiede il reset immediato delle credenziali su tutte le applicazioni a cui si è acceduto. Sconfiggi le minacce derivate da Zeus tramite defense-in-depth che combina AI comportamentale, zero trust architecture e incident response incentrata sull'identità.

Domande frequenti su Zeus Malware

Zeus Trojan, noto anche come Zbot, è un trojan bancario che ruba credenziali finanziarie tramite attacchi man-in-the-browser. Zeus intercetta i dati prima della cifratura iniettando codice nel browser e acquisendo le credenziali mentre vengono inserite. Il malware è emerso nel 2007 e ha stabilito l'architettura di base che i trojan bancari moderni utilizzano ancora oggi. Zeus ha introdotto tecniche di form grabbing, web injection e keylogging che rimangono standard nel malware finanziario attuale.

Gli hacker distribuiscono Zeus tramite campagne di phishing e exploit kit che compromettono i tuoi endpoint. Una volta infettato, Zeus acquisisce le credenziali bancarie tramite form grabbing e keylogging, quindi esfiltra i dati rubati verso server C2. Gli aggressori utilizzano queste credenziali per frodi finanziarie dirette e spesso distribuiscono payload secondari come ransomware per massimizzare il ritorno criminale dai sistemi compromessi.

Zeus prende di mira specificamente le credenziali finanziarie intercettando i dati dai siti bancari prima che avvenga la cifratura. Il malware mantiene file di configurazione che specificano le banche prese di mira e utilizza web injection per modificare le pagine bancarie in tempo reale, acquisendo credenziali e dettagli delle transazioni. Questa focalizzazione specializzata sul furto finanziario distingue Zeus dai trojan generici.

Zeus ha stabilito le basi architetturali che i trojan bancari moderni seguono ancora oggi: attacchi man-in-the-browser, iniezione web e design modulare. Minacce attuali come Dridex e Trickbot si sono evolute dal codice sorgente trapelato di Zeus ma hanno aggiunto strumenti di movimento laterale e capacità di distribuzione di ransomware. L'originale Zeus è in gran parte inattivo, ma i suoi derivati dominano l'attività attuale dei trojan bancari.

L'MFA offre una certa protezione ma non blocca completamente Zeus perché il malware utilizza tecniche man-in-the-browser che possono aggirare l'autenticazione basata sulla sessione. Zeus può dirottare le sessioni autenticate dopo un accesso MFA riuscito rubando i cookie di sessione insieme alle credenziali. 

Implementare l'MFA come uno dei livelli all'interno della difesa in profondità insieme al rilevamento comportamentale e all'architettura zero trust.

GameOver Zeus ha eliminato il singolo punto di vulnerabilità presente nello Zeus tradizionale sostituendo i server di comando e controllo centralizzati con un'architettura peer-to-peer. I sistemi infetti comunicano direttamente tra loro, rendendo significativamente più difficili le operazioni di contrasto da parte delle forze dell'ordine. 

CISA conferma che questo design P2P ha richiesto sforzi internazionali coordinati per essere interrotto. GameOver Zeus ha inoltre combinato il furto di credenziali con la distribuzione del ransomware CryptoLocker, massimizzando i profitti criminali da ogni infezione.

Zeus versione 1.4 ha introdotto la cifratura polimorfica che genera firme di codice uniche per ogni infezione, eludendo il rilevamento basato sulle firme. Il malware inoltre aggancia l'API NtQueryDirectoryFile per nascondere i propri file dalle scansioni di sicurezza e opera principalmente in memoria per evitare il rilevamento su disco. 

Il rilevamento comportamentale che monitora le azioni dei processi e i pattern in memoria risulta più efficace perché identifica Zeus in base al comportamento piuttosto che all'aspetto del codice.

Le varianti originali di Zeus sono in gran parte inattive, ma esistono minacce attive da trojan bancari derivati da Zeus che hanno ereditato la sua architettura. Dridex, Trickbot e Zusy (TinyBanker) continuano a prendere di mira le credenziali finanziarie utilizzando tecniche man-in-the-browser introdotte da Zeus. 

Queste varianti moderne hanno aggiunto funzionalità di distribuzione ransomware e movimento laterale. I metodi di attacco fondamentali stabiliti da Zeus rimangono l'approccio standard per i trojan bancari attuali.

Isolare immediatamente i sistemi infetti, acquisire dump della memoria per l'analisi forense, quindi distribuire strumenti EDR con visibilità a livello di kernel per bypassare gli hook API di Zeus. Rimuovere gli artefatti del malware e i meccanismi di persistenza, anche se la ricostruzione del sistema da backup puliti spesso risulta più affidabile. 

Reimpostare tutte le credenziali e invalidare tutte le sessioni per gli account a cui si è acceduto da dispositivi infetti, poiché il furto di credenziali consente una compromissione continua anche dopo la rimozione del malware.

Scopri di più su Sicurezza informatica

Cosa sono gli attacchi avversari? Minacce e difeseSicurezza informatica

Cosa sono gli attacchi avversari? Minacce e difese

Combatti contro gli attacchi avversari e non farti sorprendere dalle minacce alimentate dall'IA. Scopri come SentinelOne può migliorare il tuo stato di conformità, la postura di sicurezza e aiutarti a rimanere protetto.

Per saperne di più
Cybersecurity nel Settore Governativo: Rischi, Best Practice e FrameworkSicurezza informatica

Cybersecurity nel Settore Governativo: Rischi, Best Practice e Framework

Scopri quali rischi e minacce devono affrontare le agenzie e gli enti governativi nel mondo della cybersecurity. Trattiamo anche le best practice per la protezione dei sistemi governativi. Continua a leggere per saperne di più.

Per saperne di più
Che cos'è l'Insecure Direct Object Reference (IDOR)?Sicurezza informatica

Che cos'è l'Insecure Direct Object Reference (IDOR)?

L'Insecure Direct Object Reference (IDOR) è una vulnerabilità di controllo degli accessi in cui l'assenza di verifiche sulla proprietà consente agli attaccanti di recuperare i dati di qualsiasi utente modificando un parametro nell'URL. Scopri come rilevarla e prevenirla.

Per saperne di più
Sicurezza IT vs OT: principali differenze e best practiceSicurezza informatica

Sicurezza IT vs OT: principali differenze e best practice

La sicurezza IT e OT copre due domini con profili di rischio, obblighi di conformità e priorità operative distinti. Scopri le principali differenze e le best practice.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano