Trooja Zeus levib: hoiduge rikutud Google'i otsingutulemuste eest

Zeusi pangandus troojalane naaseb uue jõuga

2017. aasta novembri alguses hakkasid küberturbeeksperdid internetikasutajate seas ärevust suurendama, levitades hoiatust Zeusi pangandustrooja uue versiooni ilmumise kohta.[1] Seda ohtlikku tüüpi pahavara, mida tuntakse Zeus Panda nime all[2] on Internetis ringelnud alates juunikuust, pannes sel aastal Google'i ja teiste otsingumootorite teadmata kasutajad oma pangandus- ja muid tundlikke mandaate paljastama.Zeus Panda troojalane hajus brauseri otsingutulemustes

Uus versioon – enneolematu levitamisstrateegia

Algse Zeusi pangandustroojalase kood lekkis 2011. aastal. Sellest ajast peale on mitmed küberkurjade rühmad seda uute variantide väljatöötamiseks ära kasutanud. Siiski ei saa ZeuS-i ega Zboti versioone võrrelda Zeus Pandaga, mis on kõige viljakam ja arenenum nii levitamise, sissetungimise kui ka jõudluse poolest.

Zeus Panda ei tugine vanadele Zeusi troojalaste levitamistehnikatele[3] nagu rämpspost või andmepüügipettused. Selle arendajad kasutavad ära otsingumootori optimeerimist (SEO), kasutades häkitud saitide Google SERP-i (Search Engine Results Pages) edetabelit. Veebilehtedele sisestatakse hoolikalt valitud märksõnad, mis muudab pahatahtliku lingi Google'i otsingutulemuste ülaossa.

Küberkurjategijad sihivad teatud märksõnade komplekti, mille kohta küsivad miljonid inimesed. Sel konkreetsel viisil suureneb tõenäosus, et potentsiaalne ohver klõpsab pahatahtlikul lingil. Kahjuks on Zeus Pandaga nakatunud märksõnade täielik loetelu, paar näidet on Talos juba avaldanud:[4]

"Nordea Rootsi pangakonto number"
“al rajhi panga tööaeg ramadaani ajal”
"Mitu numbrit on karur vysya pangakonto numbris"
"Tasuta veebiraamatud pangaametniku eksami jaoks"
"Kuidas tühistada tšeki ühine pank"
"Exceli palgalehe vorming valemiga tasuta allalaadimiseks"
"Back of Baroda konto saldo kontroll"
"pangagarantii formaat mt760"
"Tasuta veebiraamatud pangaametniku eksami jaoks"
"sbi panga korduva sissemakse vorm"
"teljepanga mobiilipanga allalaadimise link"

Täitmine Microsoft Wordi dokumendi kaudu

Pahatahtliku veebisaidi avamine ei hukka Zeusi. Panda pahavara kohe. Kui potentsiaalne ohver sisestab Google'i või muusse otsingusse ohustatud otsingupäringu ja avab ohustatud veebisaidi, ta kogeb mitmeid ümbersuunamisi, kuni varjatud JavaScripti ja rikutud doc-failiga sait on avatud.

Kui brauserimees avab Microsoft Wordi dokumendi, kuvatakse talle hüpikaken, mis palub "Luba redigeerimine", "Luba sisu" või hoiatus, et "Makrod on keelatud". Seni kuni makrod pole lubatud, ei saa Zeus Panda käivitatavat faili (PE32) sisestada. Nupul „Luba makrod” klõpsamine laadib pahatahtliku käivitatava faili alla ja salvestab selle süsteemi %TEMP% kataloogi, kasutades raskesti äratuntavat failinime.

Panda Trojan sihib praegu kasutajaid Rootsis, Indias, Austraalias ja Saudi Araabias

On leitud, et Zeusi uus Trooja variant on praegu suunatud Rootsi, India, Austraalia ja Araabia kasutajatele. Selle arendajate ulatus pole selge, kuid on lihtne arvata, et nad ei kavatse pahavara levitamist piirata.

Ka praegu on mõned Talose avalikustatud märksõnad üsna universaalsed, näiteks tasuta veebiraamatud pangaametniku eksamiks või "kuidas tšeki ühispank tühistada".

Zeus Panda Trooja kampaania teeb kõige viljakamaks ja ohtlikumaks asjaolu, et pahavaral puudub liides ja sellel on hästi arenenud enesehävitusmehhanism.[5] Teisisõnu, see ei lase nakatunud arvuti kasutajal mõista, et troojalane on pardal.

Lisaks kontrollib Panda viirus tuvastamise ja analüüsimise vältimiseks süsteemi enne käivitamist ja töötab ainult mõistlikus keskkonnas. Virtuaalset keskkonda kontrollides takistab pahavara endal virtuaalmasinates töötamist.

Asjaolu, et Venemaal, Valgevenes, Ukrainas ja Kasahstanis asuvatest seadmetest läheb Trooja panganduse uusim versioon mööda, on selle päritolu üle tekitanud erinevaid spekulatsioone. Installimisel kontrollib see klaviatuuri kaardistust ja kui see ühtib mõne ülalmainitud riigiga, hävitab Zeus Panda end automaatselt.

Pahavara on raske tuvastada

Zeus Trooja Panda variandil puudub hävitav käitumine, mistõttu on selle tuvastamine raskendatud või praktiliselt võimatu. Kui ohver ei kasuta professionaalset pahavaratõrjevahendit või tööriist on aegunud, võib troojalane varastada ohvri isikuandmeid üsna pikaks ajaks.

Turvaekspertide sõnul[6] enamik mainekaid pahavaratõrjeprogramme on võimelised ära tundma Zeus Panda trooja koodi. Seetõttu on soovitatav installida oma turvatööriista uusimad määratlused ja hoida end üleval.

Lõpuks olge ettevaatlik sisu suhtes, millel sirvimise ajal klõpsate. Kui märkasite kahtlast linki, mis sisaldab kirjavigu või sisenete veebisaidile, mis põhjustab mitmeid ümbersuunamisi ja nõuab PDF-i allalaadimist või Wordi failide puhul soovitame tungivalt saidi kohe sulgemise lingist mööda minna, välja arvatud juhul, kui olete selles sada protsenti kindel turvaline.