Zeus-pankkitroijalainen palaa uusilla voimilla
Marraskuun alussa 2017 kyberturvallisuusasiantuntijat alkoivat lisätä Internetin käyttäjien ahdistusta levittämällä varoitusta Zeus-pankkitroijalaisen uuden version ilmestymisestä.[1] Zeus Pandana tunnettu vaarallinen haittaohjelmatyyppi[2] on kiertänyt Internetissä kesäkuusta lähtien, jolloin tämän vuoden tietämättömät Googlen ja muiden hakukoneiden käyttäjät on huijattu paljastamaan pankki- ja muita arkaluontoisia tunnistetietojaan.
Uusi versio – ennennäkemätön jakelustrategia
Alkuperäisen Zeus-pankkitroijalaisen koodi vuoti vuonna 2011. Sittemmin useat kyberrikollisryhmät ovat käyttäneet sitä uusien muunnelmien kehittämiseen. ZeuS- tai Zbot-versioita ei kuitenkaan voi verrata Zeus Pandaan, joka on tuotteliaisin ja edistynein sekä jakelun, soluttautumisen ja suorituskyvyn suhteen.
Zeus Panda ei luota vanhoihin Zeus Troijan jakelutekniikoihin[3] kuten roskapostit tai tietojenkalasteluhuijaukset. Sen kehittäjät hyödyntävät hakukoneoptimointia (SEO) hyödyntämällä hakkeroitujen sivustojen Google SERP (Search Engine Results Pages) -luokitusta. Sivustoille on lisätty huolella valittuja avainsanoja, jolloin haitallinen linkki sijoittuu Googlen hakutulosten yläosaan.
Kyberrikolliset kohdistavat kohteensa tietylle avainsanajoukolle, joita miljoonat ihmiset kyselevät. Tällä nimenomaisella tavalla todennäköisyys, että mahdollinen uhri napsauttaa haitallista linkkiä, kasvaa. Valitettavasti täydellinen luettelo Zeus Panda -tartunnan saaneista avainsanoista, Talos on jo paljastanut pari esimerkkiä:[4]
"Nordea Ruotsin pankkitilin numero"
“al rajhi pankin työajat ramadanin aikana”
"kuinka monta numeroa karur vysya pankkitilin numerossa"
"Ilmaiset verkkokirjat pankkivirkailijakokeeseen"
"Kuinka peruuttaa shekkiyhteiskuntapankki"
"palkkalipun muoto Excelissä, jossa on ilmainen lataus"
"bank of Baroda -tilin saldon tarkistus"
"pankkitakausmuoto mt760"
"Ilmaiset verkkokirjat pankkivirkailijakokeeseen"
"sbi pankin toistuva talletuslomake"
"akselipankin mobiilipankin latauslinkki"
Suoritus Microsoft Word -asiakirjan kautta
Haitallisen verkkosivuston avaaminen ei teloi Zeusta. Panda haittaohjelma välittömästi. Kun mahdollinen uhri syöttää vaarantuneen hakukyselyn Googleen tai muuhun hakuun ja avaa vaarantuneen verkkosivuston, hän kokee sarjan uudelleenohjauksia, kunnes sivusto, jossa on peitelty JavaScript ja vioittunut .doc-tiedosto, on avattu.
Jos selainmies avaa Microsoft Word -asiakirjan, hän saa ponnahdusikkunan, jossa kysytään "Ota muokkaus käyttöön", "Ota sisältö käyttöön" tai varoitus, että "Makrot on poistettu käytöstä". Niin kauan kuin makrot eivät ole käytössä, Zeus Panda -suoritettavaa tiedostoa (PE32) ei voi lisätä. Napsauttaminen "Ota makrot käyttöön" lataa haitallisen suoritettavan tiedoston ja tallentaa sen järjestelmän %TEMP%-hakemistoon käyttämällä vaikeasti tunnistettavaa tiedostonimeä.
Panda Trojan on tällä hetkellä suunnattu käyttäjille Ruotsissa, Intiassa, Australiassa ja Saudi-Arabiassa
On havaittu, että uusi Zeus-troijalainen variantti on tällä hetkellä suunnattu ruotsalaisille, intialaisille, australialaisille ja arabialaisille käyttäjille. Sen kehittäjien laajuus ei ole selvä, mutta on helppo arvata, etteivät he aio rajoittaa haittaohjelman leviämistä.
Jo nytkin Taloksen paljastamat avainsanat ovat varsin yleismaailmallisia, esimerkiksi ilmaiset nettikirjat pankkivirkailijakokeeseen tai "sekkiyhdistyspankin peruuttaminen".
Zeus Panda Troijan kampanjasta tuottoisimman ja vaarallisimman tekee se, että haittaohjelmalla ei ole käyttöliittymää ja siinä on hyvin kehittynyt itsetuhomekanismi.[5] Toisin sanoen se ei anna tartunnan saaneen tietokoneen käyttäjän ymmärtää, että troijalainen on mukana.
Lisäksi havaitsemisen ja analysoinnin estämiseksi Panda virus tarkistaa järjestelmän ennen sen suorittamista ja toimii vain järkevässä ympäristössä. Tarkistamalla virtuaaliympäristön haittaohjelma estää itseään toimimasta virtuaalikoneissa.
Se, että Venäjällä, Valko-Venäjällä, Ukrainassa ja Kazakstanissa sijaitsevat laitteet ohitetaan uusimman pankkitroijalaisen version avulla, on herättänyt erilaisia spekulaatioita sen alkuperästä. Asennuksen yhteydessä se tarkistaa näppäimistökartoituksen ja jos se vastaa jotakin yllämainituista maista, Zeus Panda tuhoaa itsensä automaattisesti.
Haittaohjelmia on vaikea havaita
Zeus Troijan Panda-variantilla ei ole tuhoisaa käyttäytymistä, mikä tekee sen havaitsemisen vaikeaksi tai käytännössä mahdottomaksi. Jos uhri ei käytä ammattimaista haittaohjelmien torjuntatyökalua tai työkalu on vanhentunut, troijalainen voi varastaa uhrin henkilökohtaisia tietoja melko pitkään.
Turvallisuusasiantuntijoiden mukaan[6] useimmat hyvämaineisista haittaohjelmien torjuntaohjelmista pystyvät tunnistamaan Zeus Panda -troijalaisen koodin. Siksi on suositeltavaa asentaa uusimmat määritelmät tietoturvatyökalullesi ja pitää huolta siitä.
Lopuksi, ole varovainen sen sisällön suhteen, jota napsautat selaamisen aikana. Jos huomasit epäilyttävän linkin, joka sisältää kirjoitusvirheitä tai siirryt verkkosivustolle, joka aiheuttaa sarjan uudelleenohjauksia ja kehottaa lataamaan PDF- tai Word-tiedostot, suosittelemme, että ohitat sivuston välittömästi sulkevan linkin, ellet ole sataprosenttisen varma sen olevan turvallinen.