Trojan Zeus se množí: Dejte si pozor na poškozené výsledky vyhledávání Google

Bankovní Trojan Zeus se vrací s novou silou

Začátkem listopadu 2017 začali odborníci na kybernetickou bezpečnost zvyšovat úzkost mezi uživateli internetu šířením varování před projevem nové verze bankovního trojana Zeus.[1] Tento nebezpečný typ malwaru, známý jako Zeus Panda[2] se na internetu šíří od června a letos přiměl nevědomé uživatele Googlu a dalších vyhledávačů napálit k odhalení jejich bankovních a dalších citlivých údajů.Trojan Zeus Panda se rozptýlil ve výsledcích vyhledávání prohlížeče

Nová verze – bezprecedentní distribuční strategie

Kód původního bankovního trojana Zeus unikl v roce 2011. Od té doby jej několik skupin kybernetických padouchů využilo k vývoji nových variant. Verze Zeus ani Zbot se však nedají srovnávat se Zeus Panda, která je nejplodnější a nejpokročilejší z hlediska distribuce, infiltrace a výkonu.

Zeus Panda se nespoléhá na staré distribuční techniky Zeus Trojan[3] jako spamové e-maily nebo phishingové podvody. Jeho vývojáři využívají optimalizaci pro vyhledávače (SEO) tím, že využívají hodnocení hacknutých stránek Google SERP (Search Engine Results Pages). Webové stránky obsahují pečlivě vybraná klíčová slova, díky čemuž je škodlivý odkaz umístěn v horní části výsledků vyhledávání Google.

Počítačoví zločinci se zaměřují na konkrétní sadu klíčových slov, která jsou dotazována miliony lidí. Tímto konkrétním způsobem se zvyšuje pravděpodobnost, že potenciální oběť klikne na škodlivý odkaz. Bohužel, úplný seznam klíčových slov infikovaných Zeus Panda, několik příkladů již odhalil Talos:[4]

„číslo bankovního účtu nordea ve Švédsku“
“pracovní doba banky al rajhi během ramadánu”
"kolik číslic v karur vysya číslo bankovního účtu"
„online knihy zdarma ke zkoušce bankovního úředníka“
„Jak zrušit šek Commonwealth Bank“
„Formát výplatního lístku v Excelu se vzorcem ke stažení zdarma“
"Kontrola zůstatku účtu Bank of Baroda"
„Formát bankovní záruky mt760“
„online knihy zdarma ke zkoušce bankovního úředníka“
„Formulář opakovaného vkladu sbi bank“
„odkaz ke stažení mobilního bankovnictví axis bank“

Provedení přes dokument Microsoft Word

Otevření škodlivé webové stránky nespustí Zeus. Malware Panda okamžitě. Když potenciální oběť zadá kompromitovaný vyhledávací dotaz do Google nebo jiného vyhledávání a otevře kompromitovanou webovou stránku, on nebo ona zažije řadu přesměrování, dokud web se skrytým JavaScriptem a poškozeným souborem .doc není otevřel.

Pokud uživatel v prohlížeči otevře dokument Microsoft Word, zobrazí se mu vyskakovací okno s dotazem „Povolit úpravy“, „Povolit obsah“ nebo varování, že „Makra byla zakázána“. Dokud nejsou povolena makra, spustitelný soubor Zeus Panda (PE32) nelze vložit. Kliknutím na „Povolit makra“ se stáhne škodlivý spustitelný soubor a uloží se do adresáře %TEMP% v systému pod názvem obtížně rozpoznatelného souboru.

Panda Trojan v současnosti cílí na uživatele ve Švédsku, Indii, Austrálii a Saúdské Arábii

Bylo zjištěno, že nová varianta trojského koně Zeus aktuálně cílí na švédské, indické, australské a arabské uživatele. Rozsah jeho vývojářů není jasný, ale lze snadno uhodnout, že nebudou omezovat distribuci malwaru.

Dokonce i nyní jsou některá klíčová slova odhalená Talosem spíše univerzální, například bezplatné online knihy pro zkoušku bankovního úředníka“ nebo „jak zrušit šek Commonwealth Bank“.

Co dělá kampaň Zeus Panda Trojan nejplodnější a nejnebezpečnější, je skutečnost, že malware nemá rozhraní a obsahuje dobře vyvinutý mechanismus sebezničení.[5] Jinými slovy, nedovolí uživateli infikovaného počítače pochopit, že trojský kůň je na desce.

Kromě toho, aby se zabránilo detekci a analýze, virus Panda ověřuje systém před spuštěním a běží pouze v rozumném prostředí. Kontrolou virtuálního prostředí se malware brání spuštění na virtuálních počítačích.

Skutečnost, že nejnovější verze bankovního Trojana obchází zařízení v Rusku, Bělorusku, na Ukrajině a v Kazachstánu, vzbudila různé spekulace o jeho původu. Při instalaci zkontroluje mapování klávesnice a pokud se shoduje s některou z výše uvedených zemí, Zeus Panda se automaticky zničí.

Malware je těžké odhalit

Panda varianta Zeus Trojan nemá destruktivní chování, což ztěžuje nebo prakticky znemožňuje její odhalení. Pokud oběť nepoužívá profesionální antimalwarový nástroj nebo je nástroj zastaralý, trojský kůň může ukrást osobní údaje oběti na poměrně dlouhou dobu.

Podle bezpečnostních expertů[6] většina renomovaných antimalwarových programů je schopna rozpoznat kód trojského koně Zeus Panda. Proto je vhodné nainstalovat nejnovější definice pro váš bezpečnostní nástroj a udržovat ostrahu.

Nakonec buďte opatrní ohledně obsahu, na který při procházení klikáte. Pokud si všimnete podezřelého odkazu, který obsahuje překlepy nebo zadáte webovou stránku, která způsobuje řadu přesměrování a nutkání ke stažení PDF nebo Soubory Word, důrazně doporučujeme přeskočit odkaz na okamžité uzavření webu, pokud si tím nejste stoprocentně jisti zajistit.