Банковият троянец Zeus се завръща с нова сила
В началото на ноември 2017 г. експертите по киберсигурност започнаха да увеличават безпокойството сред интернет потребителите, като разпространяваха предупреждението за проявата на нова версия на Zeus banking Trojan.[1] Известен като Zeus Panda, този опасен тип зловреден софтуер[2] циркулира в интернет от юни, като тази година накара неосведомените потребители на Google и други търсачки да бъдат подведени да разкрият своите банкови и други чувствителни идентификационни данни.
Нова версия – безпрецедентна стратегия за разпространение
Кодът на оригиналния банков троянец Zeus беше изтекъл през 2011 г. Оттогава няколко групи кибер злодеи го използваха за разработването на нови варианти. Въпреки това, нито версиите на ZeuS, нито на Zbot могат да се сравняват с Zeus Panda, която е най-плодотворната и напреднала по отношение или разпространение, проникване и производителност.
Zeus Panda не разчита на стари техники за разпространение на троянски коне Zeus
[3] като спам имейли или фишинг измами. Неговите разработчици използват оптимизацията за търсачки (SEO), като използват класацията на Google SERP (страници с резултати от търсачките) на хакнатите сайтове. Уебсайтовете са инжектирани с внимателно подбрани ключови думи, което прави злонамерената връзка позиционирана в горната част на резултатите от търсенето с Google.Кибер престъпниците се насочват към определен набор от ключови думи, които се запитват от милиони хора. По този конкретен начин се увеличава вероятността потенциална жертва да щракне върху злонамерената връзка. За съжаление, пълен списък на ключови думи, заразени от Zeus Panda, няколко примера вече бяха разкрити от Talos:[4]
„номер на банкова сметка на Nordea Sweden“
„работно време на al rajhi bank по време на Рамадан“
„колко цифри в номера на банковата сметка karur vysya“
„безплатни онлайн книги за изпит за банков служител“
„как да анулирате чек банка на общността“
„формат на фиш за заплата в excel с безплатно изтегляне на формула“
„проверка на баланса на сметката в банката на Baroda“
“формат на банкова гаранция mt760”
„безплатни онлайн книги за изпит за банков служител“
„формуляр за периодичен депозит на sbi bank“
„връзка за изтегляне на мобилно банкиране на axis bank“
Изпълнение чрез документ на Microsoft Word
Отварянето на злонамерен уебсайт не екзекутира Зевс. Panda зловреден софтуер незабавно. Когато потенциалната жертва въведе компрометирана заявка за търсене в Google или друго търсене и отвори компрометиран уебсайт, той или тя преживява поредица от пренасочвания, докато сайтът с прикрит JavaScript и повреден .doc файл не бъде отворен.
Ако човекът в браузъра отвори документ на Microsoft Word, той ще получи изскачащ прозорец с молба за „Активиране на редактиране“, „Активиране на съдържание“ или предупреждение, че „Макросите са деактивирани“. Докато макросите не са активирани, изпълнимият файл Zeus Panda (PE32) не може да бъде инжектиран. Щракването върху „Активиране на макроси“ изтегля злонамерения изпълним файл и го записва в директорията %TEMP% на системата, използвайки трудно разпознаваемото име на файл.
Panda Trojan в момента е насочен към потребители, разположени в Швеция, Индия, Австралия и Саудитска Арабия
Установено е, че новият вариант на Zeus Trojan в момента е насочен към шведски, индийски, австралийски и арабски потребители. Обхватът на неговите разработчици не е ясен, но е лесно да се предположи, че те няма да ограничават разпространението на зловреден софтуер.
Дори и сега някои от ключовите думи, разкрити от Talos, са доста универсални, например безплатни онлайн книги за изпит за банков служител“ или „как да анулирате чек от банката на общността“.
Това, което прави кампанията Zeus Panda Trojan най-плодотворната и опасна е фактът, че зловредният софтуер няма интерфейс и разполага с добре развит механизъм за самоунищожение.[5] С други думи, не позволява на потребителя на заразения компютър да разбере, че троянската програма е вградена.
Освен това, за да предотврати откриване и анализ, Panda virus проверява системата преди изпълнение и работи само в нормална среда. Чрез проверка на виртуалната среда злонамереният софтуер не позволява да се изпълнява на виртуални машини.
Фактът, че устройствата, базирани в Русия, Беларус, Украйна и Казахстан, са заобиколени от най-новата версия на банковия троянец, предизвика различни спекулации за произхода му. При инсталирането той проверява съпоставянето на клавиатурата и ако съвпада с някоя от гореспоменатите държави, Zeus Panda се самоунищожава автоматично.
Зловредният софтуер е труден за откриване
Вариантът Panda на Zeus Trojan няма разрушително поведение, което го прави трудно или практически невъзможно за откриване. Ако жертвата не използва професионален инструмент за защита от злонамерен софтуер или инструментът е остарял, троянецът може да открадне личната информация на жертвата за доста дълго време.
Според експерти по сигурността,[6] повечето от реномираните анти-зловреден софтуер програми са способни да разпознаят троянския код Zeus Panda. Ето защо е препоръчително да инсталирате най-новите дефиниции за вашия инструмент за сигурност и да поддържате предпазливост.
И накрая, бъдете внимателни относно съдържанието, върху което щраквате, когато сърфирате. Ако сте забелязали подозрителна връзка, която съдържа печатни грешки или въведете уебсайт, който причинява серия от пренасочвания и подтик за изтегляне на PDF или Word файлове, ние силно препоръчваме да заобиколите връзката за незабавно затваряне на сайта, освен ако не сте сто процента сигурни, че това е сигурен.