Trojan perbankan Zeus kembali dengan kekuatan baru
Pada awal November 2017, pakar keamanan siber mulai meningkatkan kecemasan di kalangan pengguna Internet dengan menyebarkan peringatan tentang manifestasi versi baru Trojan perbankan Zeus.[1] Dikenal sebagai Zeus Panda, jenis malware berbahaya ini[2] telah beredar di Internet sejak Juni, tahun ini membuat pengguna Google dan mesin pencari lainnya yang tidak sadar tertipu untuk mengungkapkan perbankan mereka dan kredensial sensitif lainnya.
Versi baru – strategi distribusi yang belum pernah terjadi sebelumnya
Kode Trojan perbankan Zeus asli bocor pada tahun 2011. Sejak itu, beberapa kelompok penjahat dunia maya memanfaatkannya untuk pengembangan varian baru. Namun, baik versi ZeuS maupun Zbot tidak dapat dibandingkan dengan Zeus Panda, yang paling produktif dan maju dalam hal atau distribusi, infiltrasi, dan kinerja.
Zeus Panda tidak bergantung pada teknik distribusi Trojan Zeus lama[3] seperti email spam atau penipuan phishing. Pengembangnya mengeksploitasi Search Engine Optimization (SEO) dengan memanfaatkan peringkat Google SERP (Search Engine Results Pages) dari situs yang diretas. Situs web disuntik dengan kata kunci yang dipilih dengan cermat, sehingga membuat tautan berbahaya diposisikan di bagian atas hasil pencarian Google.
Penjahat dunia maya menargetkan serangkaian kata kunci tertentu, yang ditanyakan oleh jutaan orang. Dengan cara khusus ini, kemungkinan calon korban akan mengklik tautan jahat meningkat. Sayangnya, daftar lengkap kata kunci yang terinfeksi Zeus Panda, beberapa contoh telah diungkapkan oleh Talos:[4]
“nomor rekening bank nordea swedia”
“jam kerja bank al rajhi selama ramadhan”
“berapa digit nomor rekening bank karur vysya”
“buku online gratis untuk ujian pegawai bank”
“cara membatalkan cek bank persemakmuran”
“format slip gaji di excel dengan formula free download”
“cek saldo rekening bank baroda”
“format bank garansi mt760”
“buku online gratis untuk ujian pegawai bank”
“formulir setoran berulang bank sbi”
“tautan unduhan mobile banking bank axis”
Eksekusi melalui dokumen Microsoft Word
Pembukaan situs web berbahaya tidak mengeksekusi Zeus. Malware Panda segera. Saat calon korban memasukkan kueri penelusuran yang disusupi ke Google atau penelusuran lain dan membuka situs web yang disusupi, dia mengalami serangkaian pengalihan hingga situs dengan JavaScript yang disamarkan dan file .doc yang rusak adalah dibuka.
Jika man-on-the-browser membuka dokumen Microsoft Word, dia akan mendapatkan pop-up yang meminta "Aktifkan Pengeditan", "Aktifkan Konten" atau memperingatkan bahwa "Makro telah dinonaktifkan." Selama Macro tidak diaktifkan, Zeus Panda executable (PE32) tidak dapat disuntikkan. Mengklik "Aktifkan makro" mengunduh file yang dapat dieksekusi berbahaya dan menyimpannya ke dalam direktori %TEMP% pada sistem menggunakan nama file yang sulit dikenali.
Panda Trojan saat ini menargetkan pengguna yang berlokasi di Swedia, India, Australia, dan Arab Saudi
Telah ditemukan bahwa varian Zeus Trojan baru saat ini menargetkan pengguna Swedia, India, Australia, dan Arab. Cakupan pengembangnya tidak jelas, tetapi mudah ditebak bahwa mereka tidak akan membatasi distribusi malware.
Bahkan sekarang, beberapa kata kunci yang diungkapkan oleh Talos agak universal, misalnya buku online gratis untuk ujian pegawai bank” atau “cara membatalkan cek bank persemakmuran”.
Apa yang membuat kampanye Zeus Panda Trojan yang paling produktif dan berbahaya adalah kenyataan bahwa malware tidak memiliki antarmuka dan fitur mekanisme penghancuran diri yang dikembangkan dengan baik.[5] Dengan kata lain, itu tidak membuat pengguna PC yang terinfeksi memahami bahwa Trojan ada di dalamnya.
Selain itu, untuk mencegah deteksi dan analisis, virus Panda memverifikasi sistem sebelum dijalankan dan hanya berjalan di lingkungan yang waras. Dengan memeriksa lingkungan virtual, malware mencegah dirinya berjalan di mesin virtual.
Fakta bahwa perangkat yang berbasis di Rusia, Belarus, Ukraina, dan Kazakhstan dilewati oleh versi terbaru dari Trojan perbankan telah menimbulkan berbagai spekulasi tentang asal-usulnya. Setelah instalasi, ia memeriksa pemetaan keyboard dan jika cocok dengan salah satu negara yang disebutkan di atas, Zeus Panda merusak dirinya sendiri secara otomatis.
Malware ini sulit dideteksi
Varian Panda dari Zeus Trojan tidak memiliki perilaku merusak, yang membuatnya sulit atau hampir tidak mungkin untuk dideteksi. Jika korban tidak menggunakan alat anti-malware profesional atau alat tersebut sudah ketinggalan zaman, Trojan dapat mencuri informasi pribadi korban untuk waktu yang cukup lama.
Menurut pakar keamanan,[6] sebagian besar program anti-malware terkemuka mampu mengenali kode Trojan Zeus Panda. Oleh karena itu, disarankan untuk menginstal definisi terbaru untuk alat keamanan Anda dan tetap waspada.
Terakhir, berhati-hatilah dengan konten yang Anda klik saat menjelajah. Jika Anda melihat tautan mencurigakan, yang berisi kesalahan ketik atau memasuki situs web yang menyebabkan serangkaian pengalihan dan dorongan untuk mengunduh PDF atau File Word, kami sangat menyarankan untuk melewati tautan penutupan situs segera kecuali Anda yakin seratus persen tentang itu aman.