Il Trojan bancario Zeus ritorna con una nuova forza
All'inizio di novembre 2017 gli esperti di sicurezza informatica hanno iniziato ad aumentare l'ansia tra gli utenti di Internet diffondendo l'avvertimento sulla manifestazione di una nuova versione del Trojan bancario Zeus.[1] Conosciuto come Zeus Panda, questo pericoloso tipo di malware[2] circola su Internet da giugno, costringendo quest'anno gli utenti ignari di Google e di altri motori di ricerca a rivelare le proprie credenziali bancarie e altre credenziali sensibili.
Nuova versione: strategia di distribuzione senza precedenti
Il codice del Trojan bancario originale Zeus è trapelato nel 2011. Da allora, diversi gruppi di criminali informatici lo hanno sfruttato per lo sviluppo di nuove varianti. Tuttavia, né le versioni ZeuS né Zbot possono essere paragonate a Zeus Panda, che è la più prolifica e avanzata in termini di distribuzione, infiltrazione e prestazioni.
Zeus Panda non si basa sulle vecchie tecniche di distribuzione di Zeus Trojan
[3] come e-mail di spam o truffe di phishing. I suoi sviluppatori sfruttano l'ottimizzazione per i motori di ricerca (SEO) sfruttando la classifica SERP (Search Engine Results Pages) di Google dei siti compromessi. I siti Web vengono iniettati con parole chiave scelte con cura, rendendo così il collegamento dannoso posizionato nella parte superiore dei risultati di ricerca di Google.I criminali informatici prendono di mira un particolare insieme di parole chiave, che vengono interrogate da milioni di persone. In questo modo, aumenta la probabilità che una potenziale vittima faccia clic sul collegamento dannoso. Sfortunatamente, un elenco completo di parole chiave infette da Zeus Panda, un paio di esempi sono già stati rivelati da Talos:[4]
“numero di conto bancario nordea svezia”
“orario di lavoro della banca al rajhi durante il ramadan”
"quante cifre nel numero del conto bancario karur vysya"
"libri online gratuiti per l'esame di impiegato di banca"
"come cancellare un assegno banca del Commonwealth"
“formato busta paga in excel con formula download gratuito”
"controllo del saldo del conto della banca di baroda"
“formato fideiussione mt760”
"libri online gratuiti per l'esame di impiegato di banca"
“modulo di deposito ricorrente banca sbi”
"link per il download del mobile banking della banca dell'asse"
Esecuzione tramite documento Microsoft Word
L'apertura di un sito Web dannoso non esegue Zeus. Panda malware immediatamente. Quando la potenziale vittima inserisce una query di ricerca compromessa in Google o in un'altra ricerca e apre un sito Web compromesso, lui o lei sperimenta una serie di reindirizzamenti fino a quando il sito con un JavaScript mascherato e un file .doc corrotto è ha aperto.
Se l'utente del browser apre un documento Microsoft Word, riceverà un pop-up che chiede di "Abilita modifica", "Abilita contenuto" o avviso che "Le macro sono state disabilitate". Finché le macro non sono abilitate, l'eseguibile di Zeus Panda (PE32) non può essere iniettato. Facendo clic su "Abilita macro" si scarica l'eseguibile dannoso e lo si salva nella directory %TEMP% sul sistema utilizzando il nome file difficile da riconoscere.
Panda Trojan attualmente prende di mira gli utenti che si trovano in Svezia, India, Australia e Arabia Saudita
È stato scoperto che la nuova variante di Zeus Trojan sta attualmente prendendo di mira gli utenti svedesi, indiani, australiani e arabi. L'ambito dei suoi sviluppatori non è chiaro, ma è facile intuire che non limiteranno la distribuzione del malware.
Anche ora, alcune delle parole chiave rivelate da Talos sono piuttosto universali, ad esempio libri online gratuiti per l'esame di impiegato di banca" o "come annullare un assegno bancario del Commonwealth".
Ciò che rende la campagna Trojan Zeus Panda la più prolifica e pericolosa è il fatto che il malware non ha un'interfaccia e presenta un meccanismo di autodistruzione ben sviluppato.[5] In altre parole, non consente all'utente del PC infetto di capire che il Trojan è a bordo.
Inoltre, per impedire il rilevamento e l'analisi, Panda virus verifica il sistema prima dell'esecuzione e viene eseguito solo in un ambiente sano. Controllando l'ambiente virtuale, il malware impedisce a se stesso di funzionare sulle macchine virtuali.
Il fatto che i dispositivi con sede in Russia, Bielorussia, Ucraina e Kazakistan siano aggirati dalla versione più recente del Trojan bancario ha suscitato varie speculazioni sulla sua origine. Al momento dell'installazione, controlla la mappatura della tastiera e se corrisponde a uno dei paesi sopra menzionati, Zeus Panda si autodistrugge automaticamente.
Il malware è difficile da rilevare
La variante Panda di Zeus Trojan non ha un comportamento distruttivo, il che lo rende difficile o praticamente impossibile da rilevare. Se la vittima non utilizza uno strumento anti-malware professionale o lo strumento non è aggiornato, il Trojan potrebbe rubare le informazioni personali della vittima per un periodo piuttosto lungo.
Secondo gli esperti di sicurezza,[6] la maggior parte dei programmi anti-malware affidabili è in grado di riconoscere il codice di Zeus Panda Trojan. Pertanto, è consigliabile installare le definizioni più recenti per il tuo strumento di sicurezza e mantenere alta la guardia.
Infine, fai attenzione al contenuto su cui fai clic durante la navigazione. Se hai notato un collegamento sospetto, che contiene errori di battitura o accedi a un sito Web che provoca una serie di reindirizzamenti e sollecita a scaricare PDF o File di Word, consigliamo vivamente di ignorare il collegamento per chiudere immediatamente il sito a meno che tu non sia sicuro al cento per cento che lo sia sicuro.