Zeus-Trojaner verbreitet sich: Vorsicht vor beschädigten Google-Suchergebnissen

Der Banking-Trojaner Zeus kehrt mit neuer Stärke zurück

Anfang November 2017 begannen Cybersicherheitsexperten, die Angst der Internetnutzer zu erhöhen, indem sie die Warnung vor der Manifestation einer neuen Version des Banking-Trojaners Zeus verbreiteten.[1] Bekannt als Zeus Panda, diese gefährliche Art von Malware[2] kursiert seit Juni im Internet und verleitet dieses Jahr unwissende Nutzer von Google und anderen Suchmaschinen dazu, ihre Bankdaten und andere sensible Zugangsdaten preiszugeben.Der Trojaner Zeus Panda wird über die Suchergebnisse des Browsers verbreitet

Neue Version – beispiellose Vertriebsstrategie

Der Code des ursprünglichen Banking-Trojaners Zeus wurde 2011 durchgesickert. Seitdem haben es mehrere Gruppen von Cyber-Schurken für die Entwicklung neuer Varianten ausgenutzt. Weder ZeuS- noch Zbot-Versionen können jedoch mit dem Zeus Panda verglichen werden, der in Bezug auf Verteilung, Infiltration und Leistung am produktivsten und fortschrittlichsten ist.

Zeus Panda verlässt sich nicht auf alte Zeus-Trojaner-Verteilungstechniken[3] wie Spam-E-Mails oder Phishing-Betrug. Seine Entwickler nutzen die Suchmaschinenoptimierung (SEO) aus, indem sie das Google SERP-Ranking (Search Engine Results Pages) der gehackten Websites nutzen. Die Websites werden mit sorgfältig ausgewählten Schlüsselwörtern injiziert, wodurch der schädliche Link an der Spitze der Google-Suchergebnisse positioniert wird.

Cyberkriminelle zielen auf einen bestimmten Satz von Schlüsselwörtern ab, die von Millionen von Menschen abgefragt werden. Auf diese Weise erhöht sich die Wahrscheinlichkeit, dass ein potenzielles Opfer auf den schädlichen Link klickt. Leider gibt es eine vollständige Liste der mit Zeus Panda infizierten Schlüsselwörter, einige Beispiele wurden bereits von Talos enthüllt:[4]

"Nordea Schweden Bankkontonummer"
„Arbeitszeiten der Al Rajhi Bank während des Ramadan“
„Wie viele Stellen hat die Bankkontonummer von Karur Vysya“
„Kostenlose Online-Bücher für die Prüfung zum Bankkaufmann“
„So stornieren Sie einen Scheck der Commonwealth-Bank“
"Gehaltsabrechnungsformat in Excel mit Formel kostenloser Download"
"Bank of Baroda-Kontostandsprüfung"
„Bankgarantieformat mt760“
„Kostenlose Online-Bücher für die Prüfung zum Bankkaufmann“
„sbi bank Dauereinzahlungsformular“
„Axe Bank Mobile Banking Downloadlink“

Ausführung über Microsoft Word-Dokument

Das Öffnen einer bösartigen Website führt den Zeus nicht aus. Panda-Malware sofort. Wenn das potenzielle Opfer eine kompromittierte Suchanfrage bei Google oder einer anderen Suche eingibt und eine kompromittierte Website öffnet, er oder sie erlebt eine Reihe von Weiterleitungen, bis die Site mit einem getarnten JavaScript und einer beschädigten .doc-Datei angezeigt wird geöffnet.

Wenn der Man-on-the-Browser ein Microsoft-Word-Dokument öffnet, wird er in einem Popup-Fenster aufgefordert, „Bearbeitung aktivieren“, „Inhalt aktivieren“ oder Warnung, dass "Makros deaktiviert wurden". Solange Macros nicht aktiviert ist, kann die ausführbare Datei von Zeus Panda (PE32) nicht injiziert werden. Wenn Sie auf „Makros aktivieren“ klicken, wird die schädliche ausführbare Datei heruntergeladen und unter dem schwer zu erkennenden Dateinamen im Verzeichnis %TEMP% auf dem System gespeichert.

Panda Trojan zielt derzeit auf Benutzer in Schweden, Indien, Australien und Saudi-Arabien

Es wurde festgestellt, dass die neue Trojaner-Variante Zeus derzeit schwedische, indische, australische und arabische Benutzer anspricht. Der Umfang der Entwickler ist nicht klar, aber es ist leicht zu erraten, dass sie die Verbreitung der Malware nicht einschränken werden.

Schon jetzt sind einige der von Talos aufgedeckten Schlüsselwörter ziemlich universell, zum Beispiel kostenlose Online-Bücher für die Prüfung zum Bankkaufmann“ oder „Wie man einen Scheck einer Commonwealth-Bank storniert“.

Was die Kampagne des Zeus Panda-Trojaners zur produktivsten und gefährlichsten macht, ist die Tatsache, dass die Malware keine Schnittstelle hat und über einen gut entwickelten Selbstzerstörungsmechanismus verfügt.[5] Mit anderen Worten, es lässt den Benutzer des infizierten PCs nicht erkennen, dass der Trojaner an Bord ist.

Außerdem überprüft der Panda-Virus das System vor der Ausführung, um eine Erkennung und Analyse zu verhindern, und läuft nur in einer gesunden Umgebung. Durch die Überprüfung der virtuellen Umgebung verhindert die Malware die Ausführung auf virtuellen Maschinen.

Die Tatsache, dass Geräte mit Sitz in Russland, Weißrussland, der Ukraine und Kasachstan von der neuesten Version des Banking-Trojaners umgangen werden, hat verschiedene Spekulationen über deren Herkunft ausgelöst. Bei der Installation überprüft es die Tastaturbelegung und wenn sie mit einem der oben genannten Länder übereinstimmt, zerstört sich der Zeus Panda automatisch.

Die Malware ist schwer zu erkennen

Die Panda-Variante des Zeus-Trojaners weist kein destruktives Verhalten auf, was eine Erkennung erschwert oder praktisch unmöglich macht. Wenn das Opfer kein professionelles Anti-Malware-Tool verwendet oder das Tool veraltet ist, kann der Trojaner die persönlichen Daten des Opfers für längere Zeit stehlen.

Laut Sicherheitsexperten[6] die meisten seriösen Anti-Malware-Programme sind in der Lage, den Zeus Panda Trojaner-Code zu erkennen. Daher ist es ratsam, die neuesten Definitionen für Ihr Sicherheitstool zu installieren und die Wachsamkeit aufrechtzuerhalten.

Seien Sie schließlich vorsichtig mit den Inhalten, auf die Sie beim Surfen klicken. Wenn Sie einen verdächtigen Link bemerkt haben, der Tippfehler enthält, oder eine Website aufrufen, die eine Reihe von Weiterleitungen verursacht und Sie zum Herunterladen von PDF-Dateien auffordert, oder Word-Dateien empfehlen wir dringend, den Link zum sofortigen Schließen der Site zu umgehen, es sei denn, Sie sind sich hundertprozentig sicher, dass dies der Fall ist sicher.