يعود طروادة المصرفية زيوس بقوة جديدة
في بداية شهر تشرين الثاني (نوفمبر) 2017 ، بدأ خبراء الأمن السيبراني في زيادة القلق بين مستخدمي الإنترنت من خلال نشر التحذير حول ظهور نسخة جديدة من برنامج زيوس المصرفي طروادة.[1] يُعرف باسم Zeus Panda ، هذا النوع الخطير من البرامج الضارة[2] تم تداولها على الإنترنت منذ يونيو ، هذا العام مما جعل المستخدمين غير المدركين لـ Google ومحركات البحث الأخرى يتم خداعهم للكشف عن بيانات اعتمادهم المصرفية وغيرها من بيانات الاعتماد الحساسة.
نسخة جديدة - استراتيجية توزيع غير مسبوقة
تم تسريب رمز زيوس طروادة المصرفي الأصلي في عام 2011. منذ ذلك الحين ، استغلت عدة مجموعات من الأشرار السيبرانيين ذلك لتطوير متغيرات جديدة. ومع ذلك ، لا يمكن مقارنة إصدارات ZeuS أو Zbot بإصدار Zeus Panda ، وهو الأكثر إنتاجًا وتقدماً من حيث التوزيع والتسلل والأداء.
لا تعتمد زيوس باندا على تقنيات توزيع حصان طروادة القديمة زيوس[3] مثل رسائل البريد الإلكتروني العشوائية أو رسائل التصيد الاحتيالي. يستغل مطوروها محرك البحث الأمثل (SEO) من خلال الاستفادة من تصنيف Google SERP (صفحات نتائج محرك البحث) للمواقع التي تم الاستيلاء عليها. يتم حقن مواقع الويب بكلمات رئيسية مختارة بعناية ، مما يجعل الرابط الخبيث أعلى نتائج بحث Google.
يستهدف مجرمو الإنترنت مجموعة معينة من الكلمات الرئيسية التي يستفسر عنها ملايين الأشخاص. بهذه الطريقة بالذات ، تزداد احتمالية قيام الضحية المحتملة بالنقر فوق الارتباط الضار. لسوء الحظ ، هناك قائمة كاملة بالكلمات الرئيسية المصابة بـ Zeus Panda ، وقد تم بالفعل الكشف عن مثالين بواسطة Talos:[4]
"رقم الحساب المصرفي في نورديا السويد"
"أوقات عمل مصرف الراجحي خلال شهر رمضان".
"كم عدد الأرقام في رقم الحساب المصرفي karur vysya"
"كتب مجانية على الإنترنت لاختبار كاتب البنك"
"كيفية إلغاء شيك بنك الكومنولث"
"تنسيق قسيمة الراتب في Excel مع صيغة تنزيل مجاني"
"فحص رصيد حساب بنك بارودا"
"تنسيق الضمان المصرفي mt760"
"كتب مجانية على الإنترنت لاختبار كاتب البنك"
"نموذج الإيداع المتكرر من بنك إس بي آي"
"رابط تنزيل الخدمات المصرفية عبر الهاتف المتحرك لبنك المحور"
التنفيذ عبر مستند Microsoft Word
فتح موقع ويب ضار لا يؤدي إلى تنفيذ زيوس. البرامج الضارة الباندا على الفور. عندما تدخل الضحية المحتملة استعلام بحث تم اختراقه في Google أو بحث آخر وفتح موقع ويب تم اختراقه ، يتعرض لسلسلة من عمليات إعادة التوجيه حتى يصبح الموقع الذي يحتوي على ملف JavaScript مقنع وملف doc. تالف افتتح.
إذا فتح الرجل الموجود على المتصفح مستند Microsoft Word ، فسيتلقى نافذة منبثقة تطلب "تمكين التحرير" أو "تمكين المحتوى" أو تحذيرًا من أنه "تم تعطيل وحدات الماكرو". طالما لم يتم تمكين وحدات الماكرو ، فلا يمكن حقن الملف القابل للتنفيذ زيوس باندا (PE32). يؤدي النقر فوق "تمكين وحدات الماكرو" إلى تنزيل الملف التنفيذي الضار وحفظه في دليل٪ TEMP٪ على النظام باستخدام اسم ملف يصعب التعرف عليه.
يستهدف Panda Trojan حاليًا المستخدمين الموجودين في السويد والهند وأستراليا والمملكة العربية السعودية
لقد وجد أن متغير زيوس طروادة الجديد يستهدف حاليًا المستخدمين السويديين والهنود والأستراليين والعرب. نطاق مطوريها غير واضح ، ولكن من السهل تخمين أنهم لن يقيدوا توزيع البرامج الضارة.
حتى الآن ، تعد بعض الكلمات الرئيسية التي كشفت عنها Talos عالمية إلى حد ما ، على سبيل المثال ، كتب مجانية عبر الإنترنت لاختبار كاتب البنك "أو" كيفية إلغاء شيك بنك كومنولث ".
ما يجعل حملة Zeus Panda Trojan الأكثر إنتاجًا وخطورة هو حقيقة أن البرنامج الضار لا يحتوي على واجهة ويتميز بآلية تدمير ذاتي متطورة.[5] بمعنى آخر ، لا يسمح لمستخدم الكمبيوتر المصاب بفهم أن حصان طروادة موجود على متن الطائرة.
إلى جانب ذلك ، لمنع الاكتشاف والتحليل ، يتحقق Panda virus من النظام قبل التنفيذ ويعمل في بيئة عاقلة فقط. من خلال فحص البيئة الافتراضية ، تمنع البرامج الضارة نفسها من العمل على الأجهزة الافتراضية.
أثارت حقيقة أن أحدث نسخة من برامج حصان طروادة المصرفية تجاوز الأجهزة الموجودة في روسيا وبيلاروسيا وأوكرانيا وكازاخستان ، تكهنات مختلفة حول مصدرها. عند التثبيت ، يتحقق من تعيين لوحة المفاتيح وإذا كان يطابق أيًا من البلدان المذكورة أعلاه ، فإن زيوس باندا يدمر نفسه تلقائيًا.
يصعب اكتشاف البرامج الضارة
متغير Panda من Zeus Trojan ليس له سلوك مدمر ، مما يجعل اكتشافه صعبًا أو مستحيلًا عمليًا. إذا لم يستخدم الضحية أداة احترافية لمكافحة البرامج الضارة أو كانت الأداة قديمة ، فقد يسرق حصان طروادة المعلومات الشخصية للضحية لفترة طويلة.
وبحسب خبراء أمنيين ،[6] معظم برامج مكافحة البرامج الضارة ذات السمعة الطيبة قادرة على التعرف على كود زيوس باندا طروادة. لذلك ، يُنصح بتثبيت أحدث التعريفات لأداة الأمان الخاصة بك والحفاظ على الحراسة.
أخيرًا ، كن حذرًا بشأن المحتوى الذي تنقر عليه عند التصفح. إذا لاحظت ارتباطًا مريبًا يحتوي على أخطاء إملائية أو دخول موقع ويب يتسبب في سلسلة من عمليات إعادة التوجيه والحث على تنزيل ملف PDF أو ملفات Word ، نوصي بشدة بتجاوز رابط إغلاق الموقع على الفور ما لم تكن متأكدًا بنسبة مائة بالمائة من ذلك يؤمن.