Zeus Banking Trojan vender tilbage med en ny styrke
I begyndelsen af november begyndte cybersikkerhedseksperter i 2017 at øge angsten blandt internetbrugere ved at sprede advarslen om manifestationen af en ny version af Zeus banktrojan.[1] Kendt som Zeus Panda, denne farlige type malware[2] har cirkuleret på internettet siden juni, hvilket i år har gjort uvidende brugere af Google og andre søgemaskiner narret til at afsløre deres bankoplysninger og andre følsomme legitimationsoplysninger.
Ny version – hidtil uset distributionsstrategi
Koden til den originale Zeus-banktrojaner blev lækket i 2011. Siden da har flere grupper af cyberskurke udnyttet det til udvikling af nye varianter. Hverken ZeuS- eller Zbot-versioner kan dog sammenlignes med Zeus Panda, som er den mest produktive og avancerede med hensyn til distribution, infiltration og ydeevne.
Zeus Panda er ikke afhængig af gamle Zeus trojanske distributionsteknikker[3] som spam-e-mails eller phishing-svindel. Dets udviklere udnytter Search Engine Optimization (SEO) ved at udnytte Google SERP (Search Engine Results Pages) rangeringen af de hackede websteder. Hjemmesiderne er injiceret med nøje udvalgte søgeord, hvilket gør det ondsindede link placeret øverst i Googles søgeresultater.
Cyberkriminelle målretter mod et bestemt sæt søgeord, som millioner af mennesker spørger efter. På denne særlige måde øges sandsynligheden for, at et potentielt offer klikker på det ondsindede link. Desværre er en komplet liste over Zeus Panda-inficerede søgeord, et par eksempler allerede blevet afsløret af Talos:[4]
"nordea sverige bankkontonummer"
“al rajhi banks arbejdstid under ramadanen”
"hvor mange cifre i karur vysya bankkontonummer"
"gratis online bøger til bankfunktionær eksamen"
"hvordan annulleres en check Commonwealth-bank"
"lønseddelformat i excel med formel gratis download"
"bank of baroda kontosaldokontrol"
"bankgaranti format mt760"
"gratis online bøger til bankfunktionær eksamen"
"sbi bank tilbagevendende indbetalingsformular"
"axis bank mobile banking download link"
Udførelse via Microsoft Word-dokument
Åbningen af et ondsindet websted udfører ikke Zeus. Panda malware med det samme. Når det potentielle offer indtaster en kompromitteret søgeforespørgsel i Google eller anden søgning og åbner et kompromitteret websted, han eller hun oplever en række omdirigeringer, indtil webstedet med en skjult JavaScript og beskadiget .doc-fil er åbnet.
Hvis manden-på-browseren åbner et Microsoft Word-dokument, vil han få en pop-up, der beder om "Aktiver redigering", "Aktiver indhold" eller advarsel om, at "Makroer er blevet deaktiveret." Så længe makroer ikke er aktiveret, kan Zeus Panda eksekverbare (PE32) ikke injiceres. Ved at klikke på "Aktiver makroer" downloades den ondsindede eksekverbare fil og gemmer den i mappen %TEMP% på systemet ved hjælp af det svært genkendelige filnavn.
Panda Trojan retter sig i øjeblikket mod brugere i Sverige, Indien, Australien og Saudi-Arabien
Det har vist sig, at den nye Zeus Trojan-variant i øjeblikket er rettet mod svenske, indiske, australske og arabiske brugere. Omfanget af dets udviklere er ikke klart, men det er let at gætte, at de ikke vil begrænse distributionen af malwaren.
Selv nu er nogle af nøgleordene afsløret af Talos temmelig universelle, for eksempel gratis onlinebøger til bankeksamenseksamen" eller "hvordan man annullerer en check i Commonwealth-bank."
Det, der gør Zeus Panda Trojan-kampagnen til den mest produktive og farlige, er det faktum, at malwaren ikke har en grænseflade og har en veludviklet selvdestruktionsmekanisme.[5] Med andre ord, det lader ikke brugeren af en inficeret pc forstå, at trojaneren er ombord.
For at forhindre påvisning og analyse verificerer Panda virus desuden systemet før udførelse og kører kun i et fornuftigt miljø. Ved at tjekke det virtuelle miljø forhindrer malwaren sig selv i at køre på virtuelle maskiner.
Den kendsgerning, at enheder baseret i Rusland, Hviderusland, Ukraine og Kasakhstan er forbigået af den nyeste version af banktrojan, har vakt forskellige spekulationer om dens oprindelse. Efter installationen tjekker den tastaturkortlægningen, og hvis den matcher et af de ovennævnte lande, ødelægger Zeus Panda sig selv automatisk.
Malwaren er svær at opdage
Panda-varianten af Zeus Trojan har ikke en destruktiv adfærd, som gør den svær eller praktisk talt umulig at opdage. Hvis offeret ikke bruger et professionelt anti-malware-værktøj, eller værktøjet er forældet, kan trojaneren stjæle ofrets personlige oplysninger i temmelig lang tid.
Ifølge sikkerhedseksperter,[6] de fleste af de velrenommerede anti-malware-programmer er i stand til at genkende Zeus Panda Trojan-koden. Derfor er det tilrådeligt at installere de nyeste definitioner for dit sikkerhedsværktøj og holde vagt.
Vær endelig forsigtig med det indhold, du klikker på, når du browser. Hvis du har bemærket et mistænkeligt link, som indeholder tastefejl eller indtaster et websted, der forårsager en række omdirigeringer og trang til at downloade PDF eller Word-filer, vil vi kraftigt anbefale at omgå linket til at lukke webstedet med det samme, medmindre du er hundrede procent sikker på, at det er sikker.