Последние три недели наблюдается мощная спам-кампания, нацеленная на распространение троянцев семейства Zbot. По имеющимся оценкам, эти вредоносные сообщения, написанные от имени Налоговой службы США, составляют около 10% от общего объема спама в интернете. Мишенью злоумышленников являются американцы-держатели зарубежных счетов, которые должны подать налоговую декларацию до 23 сентября. Поддельные письма снабжены заголовком «Notice of Underreported Income» («Вы занизили сумму доходов») и ссылкой, реже вложением — якобы для просмотра получателем поправок к налоговой декларации. На самом деле вместо документа указанный файл содержит один из вариантов Trojan-PSW.Win32.Zbot — программы, специализирующейся на краже конфиденциальной информации, которая позволяет ее операторам выкачивать с чужих счетов более миллиона долларов в сутки. По данным компании M86 Security, вредоносные послания рассылаются с ботнета Pushdo, а страницы с «декларацией» размещены на более чем 300 доменах, многие из которых привязаны к зоне .eu. Бинарный код троянца меняется несколько раз в сутки, что затрудняет его обнаружение. Согласно данным VirusTotal, его до сих пор детектируют менее 15% современных антивирусов.
По оценке компании Damballa, Zbot лидирует в США среди прочих бот-агентов по количеству заражений (3,6 миллиона, или 1% компьютерного парка). Эксперты Trusteer, изучив [PDF 390Кб] его в «диком» виде, заключили, что пользовательские антивирусы детектируют его лишь в 23% случаев. А RSA в конце лета обнаружила, что троянец начал использовать IM-каналы для ускоренной доставки украденных реквизитов своим повелителям.