Zeus bankovni trojanac vraća se s novom snagom
Početkom studenog 2017. stručnjaci za kibernetičku sigurnost počeli su pojačavati tjeskobu među korisnicima interneta šireći upozorenje o pojavljivanju nove verzije Zeus bankovnog trojanca.[1] Poznata kao Zeus Panda, ova opasna vrsta zlonamjernog softvera[2] Internetom kruži od lipnja, ove godine zbog čega su nesvjesni korisnici Googlea i drugih tražilica prevareni da otkriju svoje bankovne i druge osjetljive vjerodajnice.
Nova verzija – strategija distribucije bez presedana
Šifra izvornog Zeusovog bankovnog trojanca procurila je 2011. godine. Od tada ga je nekoliko skupina cyber zlikovaca iskoristilo za razvoj novih varijanti. Međutim, ni verzije ZeuS-a ni Zbota ne mogu se usporediti sa Zeus Pandom, koja je najplodnija i najnaprednija u smislu distribucije, infiltracije i performansi.
Zeus Panda se ne oslanja na stare Zeus trojanske tehnike distribucije[3] poput neželjene e-pošte ili krađe identiteta. Njegovi programeri iskorištavaju optimizaciju za tražilice (SEO) koristeći Google SERP (Stranice s rezultatima tražilice) rangiranje hakiranih stranica. Web stranice su ubrizgane pomno odabranim ključnim riječima, čime se zlonamjerna poveznica nalazi na vrhu Google rezultata pretraživanja.
Cyber kriminalci ciljaju na određeni skup ključnih riječi koje postavljaju upiti od strane milijuna ljudi. Na taj se način povećava vjerojatnost da će potencijalna žrtva kliknuti na zlonamjernu poveznicu. Nažalost, potpuni popis ključnih riječi zaraženih Zeusom Pandom, nekoliko primjera je već otkrio Talos:[4]
“broj bankovnog računa nordea sweden”
“radno vrijeme al rajhi banke za vrijeme ramazana”
"koliko znamenki u broju bankovnog računa karur vysya"
“besplatne online knjige za ispit bankovnog službenika”
"kako poništiti ček Commonwealth banke"
“format platnog lista u excelu s formulom za besplatno preuzimanje”
“provjera stanja na računu banke Baroda”
“format bankovne garancije mt760”
“besplatne online knjige za ispit bankovnog službenika”
“obrazac ponavljajućeg depozita sbi banke”
“veza za preuzimanje mobilnog bankarstva axis banke”
Izvođenje putem Microsoft Word dokumenta
Otvaranje zlonamjerne web stranice ne pogubljuje Zeusa. Panda malware odmah. Kada potencijalna žrtva unese ugroženi upit za pretraživanje u Google ili neku drugu pretragu i otvori ugroženu web stranicu, on ili ona doživljava niz preusmjeravanja dok web-mjesto s prikrivenim JavaScriptom i oštećenom .doc datotekom ne bude otvorio.
Ako čovjek u pregledniku otvori dokument Microsoft Word, prikazat će mu se skočni prozor s upitom "Omogući uređivanje", "Omogući sadržaj" ili upozorenje da su "Makronaredbe onemogućene". Sve dok makronaredbe nisu omogućene, izvršna datoteka Zeus Panda (PE32) ne može se ubaciti. Klikom na "Omogući makronaredbe" preuzima se zlonamjerna izvršna datoteka i sprema je u direktorij %TEMP% na sustavu koristeći naziv datoteke koji je teško prepoznati.
Panda Trojan trenutno cilja korisnike koji se nalaze u Švedskoj, Indiji, Australiji i Saudijskoj Arabiji
Utvrđeno je da nova varijanta Zeus Trojan trenutno cilja na švedske, indijske, australske i arapske korisnike. Opseg njegovih programera nije jasan, ali lako je pretpostaviti da neće ograničiti distribuciju zlonamjernog softvera.
Čak i sada, neke od ključnih riječi koje je otkrio Talos prilično su univerzalne, na primjer, besplatne online knjige za ispit bankovnog službenika" ili "kako poništiti ček Commonwealth banke".
Ono što Zeus Panda Trojan kampanju čini najplodnijom i najopasnijom je činjenica da zlonamjerni softver nema sučelje i ima dobro razvijen mehanizam samouništenja.[5] Drugim riječima, ne dopušta korisniku zaraženog računala da shvati da je trojanac ugrađen.
Osim toga, kako bi spriječio otkrivanje i analizu, Panda virus provjerava sustav prije izvršenja i radi samo u normalnom okruženju. Provjeravanjem virtualnog okruženja, zlonamjerni softver sprječava da se pokrene na virtualnim strojevima.
Činjenica da najnovija verzija bankovnog Trojanca zaobilazi uređaje sa sjedištem u Rusiji, Bjelorusiji, Ukrajini i Kazahstanu, izazvala je razna nagađanja o njegovom podrijetlu. Nakon instalacije provjerava mapiranje tipkovnice i ako odgovara bilo kojoj od gore navedenih zemalja, Zeus Panda se automatski uništava.
Zlonamjerni softver je teško otkriti
Panda varijanta Zeus Trojan nema destruktivno ponašanje, što ga čini teškim ili praktički nemogućim za otkrivanje. Ako žrtva ne koristi profesionalni alat za zaštitu od zlonamjernog softvera ili je alat zastario, trojanac može ukrasti osobne podatke žrtve dosta dugo vremena.
Prema riječima stručnjaka za sigurnost,[6] većina renomiranih anti-malware programa sposobna je prepoznati trojanski kod Zeus Panda. Stoga je preporučljivo instalirati najnovije definicije za svoj sigurnosni alat i čuvati se.
Konačno, budite oprezni sa sadržajem na koji kliknete tijekom pregledavanja. Ako ste primijetili sumnjivu poveznicu, koja sadrži pogreške pri pisanju ili ulazak na web stranicu koja uzrokuje niz preusmjeravanja i poriv za preuzimanje PDF-a ili Word datoteke, preporučujemo da odmah zaobiđete vezu za zatvaranje stranice osim ako niste sto posto sigurni da je to siguran.