A Zeus banki trójai új erővel tér vissza
2017. november elején a kiberbiztonsági szakértők a Zeus banki trójai új verziójának megjelenésére figyelmeztetve fokozták az internetezők aggodalmát.[1] Zeus Panda néven ismert, ez a veszélyes rosszindulatú program[2] június óta kering az interneten, idén arra késztette a Google és más keresőmotorok tudatlan felhasználóit, hogy felfedjék banki és egyéb kényes hitelesítő adataikat.
Új verzió – példátlan terjesztési stratégia
Az eredeti Zeus banki trójai kódja 2011-ben kiszivárgott. Azóta a kibergonoszok több csoportja használta ki új változatok kifejlesztésére. Azonban sem a ZeuS, sem a Zbot változat nem hasonlítható össze a Zeus Pandával, amely a legtermékenyebb és legfejlettebb a terjesztés, a beszivárgás és a teljesítmény tekintetében.
A Zeus Panda nem támaszkodik a régi Zeus trójai terjesztési technikákra[3] például spam e-mailek vagy adathalász csalások. Fejlesztői a keresőoptimalizálást (SEO) használják ki a feltört webhelyek Google SERP (Search Engine Results Pages) rangsorának kihasználásával. A weboldalak gondosan kiválasztott kulcsszavakkal vannak beillesztve, így a rosszindulatú link a Google keresési eredményeinek tetejére kerül.
A számítógépes bûnözõk egy adott kulcsszókészletet céloznak meg, amelyekre emberek milliói kérdeznek rá. Ilyen módon megnő annak a valószínűsége, hogy egy potenciális áldozat rákattint a rosszindulatú hivatkozásra. Sajnos a Zeus Panda által fertőzött kulcsszavak teljes listája, pár példát már elárult Talos:[4]
„nordea svéd bankszámlaszám”
“Al rajhi bank munkaidő ramadán alatt”
"hány számjegy van a karur vysya bankszámlaszámban"
„ingyenes online könyvek banktisztviselői vizsgához”
"hogyan lehet törölni egy csekket Commonwealth Bank"
"bérszelvény formátumban Excelben képletekkel ingyenesen letölthető"
"bank of Baroda számlaegyenleg ellenőrzése"
"bankgarancia formátum mt760"
„ingyenes online könyvek banktisztviselői vizsgához”
"sbi bank ismétlődő befizetési űrlap"
„Axis Bank mobilbanki letöltési link”
Végrehajtás Microsoft Word dokumentumon keresztül
Egy rosszindulatú webhely megnyitása nem hajtja végre a Zeuszt. Panda malware azonnal. Amikor a potenciális áldozat beír egy feltört keresési lekérdezést a Google vagy más keresésbe, és megnyit egy feltört webhelyet, egy sor átirányítást tapasztal, amíg az álcázott JavaScriptet és sérült .doc fájlt tartalmazó webhely meg nem jelenik nyitott.
Ha a böngésző megnyit egy Microsoft Word dokumentumot, egy felugró ablak jelenik meg, amely a „Szerkesztés engedélyezése”, „Tartalom engedélyezése” vagy figyelmeztetés, hogy „A makrók le vannak tiltva”. Amíg a makrók nincsenek engedélyezve, a Zeus Panda végrehajtható fájl (PE32) nem injektálható be. A „Makrók engedélyezése” gombra kattintva letölti a rosszindulatú végrehajtható fájlt, és a nehezen felismerhető fájlnévvel a rendszer %TEMP% könyvtárába menti.
A Panda Trojan jelenleg Svédországban, Indiában, Ausztráliában és Szaúd-Arábiában élő felhasználókat célozza meg
Kiderült, hogy az új Zeus trójai változat jelenleg a svéd, indiai, ausztrál és arab felhasználókat célozza meg. A fejlesztők köre nem világos, de könnyen sejthető, hogy nem fogják korlátozni a kártevő terjesztését.
A Talos által feltárt kulcsszavak egy része még most is meglehetősen univerzális, ilyen például az ingyenes online könyvek banktisztviselői vizsgához, vagy „hogyan lehet lemondani egy csekkközösségi bankot”.
A Zeus Panda Trojan kampányt az teszi a legtermékenyebbé és legveszélyesebbé, hogy a kártevőnek nincs felülete, és jól kidolgozott önmegsemmisítő mechanizmussal rendelkezik.[5] Más szóval, nem engedi, hogy a fertőzött számítógép felhasználója megértse, hogy a trójai a fedélzeten van.
Ezenkívül az észlelés és elemzés megakadályozása érdekében a Panda vírus a végrehajtás előtt ellenőrzi a rendszert, és csak ésszerű környezetben fut. A virtuális környezet ellenőrzésével a kártevő megakadályozza, hogy virtuális gépeken fusson.
Az a tény, hogy az oroszországi, fehéroroszországi, ukrajnai és kazahsztáni készülékeket megkerüli a banki trójai legújabb verziója, számos találgatást ébresztett annak eredetével kapcsolatban. Telepítéskor ellenőrzi a billentyűzetkiosztást, és ha egyezik valamelyik fent említett országgal, a Zeus Panda automatikusan tönkreteszi magát.
A rosszindulatú programot nehéz felismerni
A Zeus Trojan Panda változata nem rendelkezik romboló viselkedéssel, ami megnehezíti vagy gyakorlatilag lehetetlenné teszi az észlelést. Ha az áldozat nem használ professzionális kártevőirtó eszközt, vagy az eszköz elavult, a trójai hosszú ideig ellophatja az áldozat személyes adatait.
Biztonsági szakértők szerint[6] a legtöbb jó hírű kártevőirtó program képes felismerni a Zeus Panda trójai kódot. Ezért tanácsos telepíteni a legújabb definíciókat a biztonsági eszközhöz, és vigyázni.
Végül ügyeljen arra, hogy böngészés közben milyen tartalomra kattint. Ha gyanús hivatkozást vett észre, amely elírási hibákat tartalmaz, vagy olyan webhelyre lép, amely átirányítások sorozatát okozza, és PDF letöltésére késztet Word fájlok esetén erősen javasoljuk az oldal azonnali bezárására szolgáló link megkerülését, hacsak nem biztos abban, hogy biztonságos.