Το Zeus banking Trojan επιστρέφει με νέα δύναμη
Στις αρχές Νοεμβρίου 2017, οι ειδικοί στην ασφάλεια στον κυβερνοχώρο άρχισαν να αυξάνουν το άγχος μεταξύ των χρηστών του Διαδικτύου διαδίδοντας την προειδοποίηση για την εκδήλωση μιας νέας έκδοσης του Zeus banking Trojan.[1] Γνωστό ως Zeus Panda, αυτός ο επικίνδυνος τύπος κακόβουλου λογισμικού[2] κυκλοφορεί στο Διαδίκτυο από τον Ιούνιο, κάνοντας φέτος χρήστες που δεν γνωρίζουν το Google και άλλες μηχανές αναζήτησης να εξαπατηθούν για να αποκαλύψουν τα τραπεζικά και άλλα ευαίσθητα διαπιστευτήριά τους.
Νέα έκδοση – πρωτοφανής στρατηγική διανομής
Ο κωδικός του αρχικού Zeus banking Trojan διέρρευσε το 2011. Από τότε, αρκετές ομάδες κακοποιών του κυβερνοχώρου το εκμεταλλεύτηκαν για την ανάπτυξη νέων παραλλαγών. Ωστόσο, ούτε οι εκδόσεις ZeuS ούτε Zbot μπορούν να συγκριθούν με το Zeus Panda, το οποίο είναι το πιο παραγωγικό και προηγμένο σε όρους ή διανομή, διείσδυση και απόδοση.
Το Zeus Panda δεν βασίζεται σε παλιές τεχνικές διανομής Zeus Trojan[3] όπως ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου ή απάτες ηλεκτρονικού ψαρέματος. Οι προγραμματιστές του εκμεταλλεύονται το Search Engine Optimization (SEO) αξιοποιώντας την κατάταξη του Google SERP (Search Engine Results Pages) των παραβιασμένων ιστότοπων. Οι ιστότοποι εγχέονται με προσεκτικά επιλεγμένες λέξεις-κλειδιά, καθιστώντας έτσι τον κακόβουλο σύνδεσμο τοποθετημένο στην κορυφή των αποτελεσμάτων αναζήτησης Google.
Οι εγκληματίες του κυβερνοχώρου στοχεύουν ένα συγκεκριμένο σύνολο λέξεων-κλειδιών, οι οποίες ερωτώνται από εκατομμύρια ανθρώπους. Με αυτόν τον συγκεκριμένο τρόπο, αυξάνεται η πιθανότητα ένα πιθανό θύμα να κάνει κλικ στον κακόβουλο σύνδεσμο. Δυστυχώς, μια πλήρης λίστα με λέξεις-κλειδιά που έχουν μολυνθεί από το Zeus Panda, μερικά παραδείγματα έχουν ήδη αποκαλυφθεί από τον Talos:[4]
“Αριθμός τραπεζικού λογαριασμού Nordea Sweden”
“Ώρες εργασίας της τράπεζας al rajhi κατά τη διάρκεια του Ραμαζανιού”
"Πόσα ψηφία στον αριθμό τραπεζικού λογαριασμού karur vysya"
“δωρεάν ηλεκτρονικά βιβλία για εξετάσεις τραπεζικού υπαλλήλου”
"Πώς να ακυρώσετε μια επιταγή κοινοπολιτειακή τράπεζα"
"Μορφή δελτίου μισθού σε excel με φόρμουλα δωρεάν λήψη"
“Έλεγχος υπολοίπου λογαριασμού bank of baroda”
“Μορφή τραπεζικής εγγύησης mt760”
“δωρεάν ηλεκτρονικά βιβλία για εξετάσεις τραπεζικού υπαλλήλου”
"Έντυπο επαναλαμβανόμενης κατάθεσης τράπεζας SBI"
"Σύνδεσμος λήψης mobile banking του axis bank"
Εκτέλεση μέσω εγγράφου Microsoft Word
Το άνοιγμα μιας κακόβουλης ιστοσελίδας δεν εκτελεί τον Δία. Άμεσα κακόβουλο λογισμικό Panda. Όταν το πιθανό θύμα εισάγει ένα παραβιασμένο ερώτημα αναζήτησης στο Google ή σε άλλη αναζήτηση και ανοίγει έναν παραβιασμένο ιστότοπο, αυτός ή αυτή αντιμετωπίζει μια σειρά από ανακατευθύνσεις έως ότου ο ιστότοπος με ένα συγκαλυμμένο JavaScript και κατεστραμμένο αρχείο .doc άνοιξε.
Εάν ο χρήστης-on-the-browser ανοίξει ένα έγγραφο του Microsoft Word, θα εμφανιστεί ένα αναδυόμενο παράθυρο που θα του ζητά "Ενεργοποίηση επεξεργασίας", "Ενεργοποίηση περιεχομένου" ή προειδοποιώντας ότι "Οι μακροεντολές έχουν απενεργοποιηθεί". Εφόσον οι μακροεντολές δεν είναι ενεργοποιημένες, το εκτελέσιμο αρχείο Zeus Panda (PE32) δεν μπορεί να εγχυθεί. Κάνοντας κλικ στο "Ενεργοποίηση μακροεντολών" γίνεται λήψη του κακόβουλου εκτελέσιμου αρχείου και το αποθηκεύεται στον κατάλογο %TEMP% του συστήματος χρησιμοποιώντας το όνομα αρχείου που είναι δύσκολο να αναγνωριστεί.
Το Panda Trojan στοχεύει αυτήν τη στιγμή χρήστες που βρίσκονται στη Σουηδία, την Ινδία, την Αυστραλία και τη Σαουδική Αραβία
Διαπιστώθηκε ότι η νέα παραλλαγή Zeus Trojan στοχεύει επί του παρόντος χρήστες Σουηδούς, Ινδούς, Αυστραλούς και Άραβες. Το εύρος των προγραμματιστών του δεν είναι ξεκάθαρο, αλλά είναι εύκολο να μαντέψει κανείς ότι δεν πρόκειται να περιορίσουν τη διανομή του κακόβουλου λογισμικού.
Ακόμη και τώρα, ορισμένες από τις λέξεις-κλειδιά που αποκαλύπτει ο Talos είναι μάλλον καθολικές, για παράδειγμα, δωρεάν ηλεκτρονικά βιβλία για εξετάσεις τραπεζικού υπαλλήλου» ή «πώς να ακυρώσετε μια επιταγή κοινοπολιτειακής τράπεζας».
Αυτό που κάνει την καμπάνια Zeus Panda Trojan την πιο παραγωγική και επικίνδυνη είναι το γεγονός ότι το κακόβουλο λογισμικό δεν έχει διεπαφή και διαθέτει έναν καλά ανεπτυγμένο μηχανισμό αυτοκαταστροφής.[5] Με άλλα λόγια, δεν αφήνει τον χρήστη του μολυσμένου υπολογιστή να καταλάβει ότι ο Trojan είναι ενσωματωμένος.
Επιπλέον, για να αποτρέψει τον εντοπισμό και την ανάλυση, ο ιός Panda επαληθεύει το σύστημα πριν από την εκτέλεση και εκτελείται μόνο σε υγιές περιβάλλον. Ελέγχοντας το εικονικό περιβάλλον, το κακόβουλο λογισμικό αποτρέπει την εκτέλεση του σε εικονικές μηχανές.
Το γεγονός ότι οι συσκευές που εδρεύουν στη Ρωσία, τη Λευκορωσία, την Ουκρανία και το Καζακστάν παρακάμπτονται από την νεότερη έκδοση του τραπεζικού Trojan έχει προκαλέσει διάφορες εικασίες σχετικά με την προέλευσή του. Κατά την εγκατάσταση, ελέγχει τη χαρτογράφηση του πληκτρολογίου και εάν ταιριάζει με κάποια από τις προαναφερθείσες χώρες, το Zeus Panda αυτοκαταστρέφεται αυτόματα.
Το κακόβουλο λογισμικό είναι δύσκολο να εντοπιστεί
Η παραλλαγή Panda του Zeus Trojan δεν έχει καταστροφική συμπεριφορά, γεγονός που καθιστά δύσκολο ή πρακτικά αδύνατο να εντοπιστεί. Εάν το θύμα δεν χρησιμοποιεί ένα επαγγελματικό εργαλείο κατά του κακόβουλου λογισμικού ή το εργαλείο είναι ξεπερασμένο, ο Trojan μπορεί να κλέψει τα προσωπικά στοιχεία του θύματος για μεγάλο χρονικό διάστημα.
Σύμφωνα με ειδικούς ασφαλείας,[6] τα περισσότερα από τα αξιόπιστα προγράμματα κατά του κακόβουλου λογισμικού είναι ικανά να αναγνωρίσουν τον κώδικα Zeus Panda Trojan. Επομένως, είναι σκόπιμο να εγκαταστήσετε τους πιο πρόσφατους ορισμούς για το εργαλείο ασφαλείας σας και να διατηρήσετε την προσοχή σας.
Τέλος, να είστε προσεκτικοί σχετικά με το περιεχόμενο στο οποίο κάνετε κλικ κατά την περιήγηση. Εάν παρατηρήσατε έναν ύποπτο σύνδεσμο, ο οποίος περιέχει λάθη πληκτρολόγησης ή εισαγάγετε έναν ιστότοπο που προκαλεί μια σειρά ανακατευθύνσεων και παροτρύνετε να κάνετε λήψη PDF ή αρχεία Word, θα συνιστούσαμε ανεπιφύλακτα να παρακάμψετε τον σύνδεσμο για το κλείσιμο του ιστότοπου αμέσως, εκτός εάν είστε εκατό τοις εκατό σίγουροι ότι είναι ασφαλής.