ज़ीउस बैंकिंग ट्रोजन एक नई ताकत के साथ लौटा
नवंबर, 2017 की शुरुआत में साइबर सुरक्षा विशेषज्ञों ने ज़ीउस बैंकिंग ट्रोजन के एक नए संस्करण के प्रकट होने के बारे में चेतावनी फैलाकर इंटरनेट उपयोगकर्ताओं के बीच चिंता बढ़ाना शुरू कर दिया।[1] ज़ीउस पांडा के नाम से जाना जाता है, यह खतरनाक प्रकार का मैलवेयर[2] जून से इंटरनेट पर प्रसारित हो रहा है, इस साल Google और अन्य खोज इंजनों के अनजान उपयोगकर्ताओं को उनके बैंकिंग और अन्य संवेदनशील क्रेडेंशियल्स का खुलासा करने के लिए धोखा दिया गया है।
नया संस्करण – अभूतपूर्व वितरण रणनीति
मूल ज़ीउस बैंकिंग ट्रोजन का कोड 2011 में लीक हो गया था। तब से, साइबर खलनायकों के कई समूहों ने नए रूपों के विकास के लिए इसका फायदा उठाया। हालांकि, न तो ज़ीउस और न ही ज़बॉट संस्करणों की तुलना ज़ीउस पांडा से की जा सकती है, जो कि वितरण, घुसपैठ और प्रदर्शन के मामले में सबसे विपुल और उन्नत है।
ज़ीउस पांडा पुरानी ज़ीउस ट्रोजन वितरण तकनीकों पर भरोसा नहीं करता[3] जैसे स्पैम ईमेल या फ़िशिंग स्कैम। इसके डेवलपर्स हैक की गई साइटों की Google SERP (सर्च इंजन रिजल्ट पेज) रैंकिंग का लाभ उठाकर सर्च इंजन ऑप्टिमाइजेशन (SEO) का फायदा उठाते हैं। वेबसाइटों को सावधानी से चुने गए कीवर्ड के साथ इंजेक्ट किया जाता है, इस प्रकार दुर्भावनापूर्ण लिंक को Google खोज परिणामों में सबसे ऊपर स्थान दिया जाता है।
साइबर अपराधी कीवर्ड के एक विशेष समूह को लक्षित करते हैं, जो लाखों लोगों द्वारा पूछे जाते हैं। इस विशेष तरीके से, संभावित शिकार द्वारा दुर्भावनापूर्ण लिंक पर क्लिक करने की संभावना बढ़ जाती है। दुर्भाग्य से, ज़ीउस पांडा संक्रमित खोजशब्दों की एक पूरी सूची, तालोस द्वारा कुछ उदाहरण पहले ही सामने आ चुके हैं:[4]
"नोर्डिया स्वीडन बैंक खाता संख्या"
"अल राजी बैंक रमजान के दौरान काम के घंटे"
"करूर वैश्य बैंक खाता संख्या में कितने अंक होते हैं"
"बैंक क्लर्क परीक्षा के लिए नि:शुल्क ऑनलाइन पुस्तकें"
"एक चेक कॉमनवेल्थ बैंक कैसे रद्द करें"
"वेतन पर्ची प्रारूप एक्सेल में फॉर्मूला मुफ्त डाउनलोड के साथ"
"बैंक ऑफ बड़ौदा अकाउंट बैलेंस चेक"
"बैंक गारंटी प्रारूप एमटी760"
"बैंक क्लर्क परीक्षा के लिए नि:शुल्क ऑनलाइन पुस्तकें"
"एसबीआई बैंक आवर्ती जमा फॉर्म"
"एक्सिस बैंक मोबाइल बैंकिंग डाउनलोड लिंक"
Microsoft Word दस्तावेज़ के माध्यम से निष्पादन
एक दुर्भावनापूर्ण वेबसाइट का उद्घाटन ज़ीउस को निष्पादित नहीं करता है। पांडा मैलवेयर तुरंत। जब संभावित शिकार Google या अन्य खोज में एक छेड़छाड़ की गई खोज क्वेरी दर्ज करता है और एक छेड़छाड़ की गई वेबसाइट खोलता है, वह तब तक रीडायरेक्ट की एक श्रृंखला का अनुभव करता है जब तक कि एक छिपी हुई जावास्क्रिप्ट और दूषित .doc फ़ाइल वाली साइट नहीं है खुल गया।
यदि मैन-ऑन-द-ब्राउज़र Microsoft Word दस्तावेज़ खोलता है, तो उसे "संपादन सक्षम करें", "सामग्री सक्षम करें" या चेतावनी है कि "मैक्रोज़ अक्षम कर दिए गए हैं।" जब तक मैक्रोज़ सक्षम नहीं है, ज़ीउस पांडा एक्ज़ीक्यूटेबल (PE32) इंजेक्ट नहीं किया जा सकता है। "मैक्रोज़ सक्षम करें" पर क्लिक करने से दुर्भावनापूर्ण निष्पादन योग्य डाउनलोड हो जाता है और इसे मुश्किल से पहचाने जाने वाले फ़ाइल नाम का उपयोग करके सिस्टम पर %TEMP% निर्देशिका में सहेजा जाता है।
पांडा ट्रोजन वर्तमान में स्वीडन, भारत, ऑस्ट्रेलिया और सऊदी अरब में स्थित उपयोगकर्ताओं को लक्षित करता है
यह पाया गया है कि नया ज़ीउस ट्रोजन संस्करण वर्तमान में स्वीडिश, भारतीय, ऑस्ट्रेलियाई और अरब उपयोगकर्ताओं को लक्षित कर रहा है। इसके डेवलपर्स का दायरा स्पष्ट नहीं है, लेकिन यह अनुमान लगाना आसान है कि वे मैलवेयर के वितरण को प्रतिबंधित नहीं करने जा रहे हैं।
अब भी, टैलोस द्वारा प्रकट किए गए कुछ कीवर्ड सार्वभौमिक हैं, उदाहरण के लिए, बैंक क्लर्क परीक्षा के लिए मुफ्त ऑनलाइन पुस्तकें" या "एक चेक कॉमनवेल्थ बैंक को कैसे रद्द करें।"
जो चीज ज़ीउस पांडा ट्रोजन अभियान को सबसे विपुल और खतरनाक बनाती है, वह यह है कि मैलवेयर में एक इंटरफ़ेस नहीं होता है और एक अच्छी तरह से विकसित आत्म-विनाश तंत्र की सुविधा होती है।[5] दूसरे शब्दों में, यह संक्रमित पीसी के उपयोगकर्ता को यह समझने नहीं देता कि ट्रोजन ऑन-बोर्ड है।
इसके अलावा, पता लगाने और विश्लेषण को रोकने के लिए, पांडा वायरस निष्पादन से पहले सिस्टम को सत्यापित करता है और केवल एक स्वस्थ वातावरण में चलता है। वर्चुअल वातावरण की जांच करके, मैलवेयर वर्चुअल मशीन पर चलने से रोकता है।
तथ्य यह है कि रूस, बेलारूस, यूक्रेन और कजाकिस्तान में स्थित उपकरणों को बैंकिंग ट्रोजन के नवीनतम संस्करण द्वारा दरकिनार कर दिया गया है, इसकी उत्पत्ति के बारे में विभिन्न अटकलों को जन्म दिया है। इंस्टालेशन पर, यह कीबोर्ड मैपिंग की जांच करता है और यदि यह उपर्युक्त देशों में से किसी से मेल खाता है, तो ज़ीउस पांडा अपने आप को नष्ट कर देता है।
मैलवेयर का पता लगाना मुश्किल है
ज़ीउस ट्रोजन के पांडा संस्करण में विनाशकारी व्यवहार नहीं होता है, जिससे इसका पता लगाना मुश्किल या व्यावहारिक रूप से असंभव हो जाता है। यदि पीड़ित पेशेवर एंटी-मैलवेयर टूल का उपयोग नहीं करता है या टूल पुराना है, तो यह ट्रोजन पीड़ित की व्यक्तिगत जानकारी को काफी लंबे समय तक चुरा सकता है।
सुरक्षा विशेषज्ञों के मुताबिक,[6] अधिकांश सम्मानित एंटी-मैलवेयर प्रोग्राम ज़ीउस पांडा ट्रोजन कोड को पहचानने में सक्षम हैं। इसलिए, यह सलाह दी जाती है कि अपने सुरक्षा उपकरण के लिए नवीनतम परिभाषाएँ स्थापित करें और सतर्क रहें।
अंत में, ब्राउज़ करते समय आपके द्वारा क्लिक की जाने वाली सामग्री से सावधान रहें। यदि आपने एक संदिग्ध लिंक देखा है, जिसमें टाइपो की गलतियाँ हैं या ऐसी वेबसाइट दर्ज करें जो रीडायरेक्ट की एक श्रृंखला का कारण बनती है और पीडीएफ डाउनलोड करने का आग्रह करती है या Word फ़ाइलें, हम दृढ़ता से अनुशंसा करेंगे कि साइट को तुरंत बंद करने के लिंक को छोड़ दें, जब तक कि आप इसके बारे में शत-प्रतिशत सुनिश्चित न हों सुरक्षित।