טרויאני בנקאות זאוס חוזר עם כוח חדש
בתחילת נובמבר 2017, מומחי אבטחת סייבר החלו להגביר את החרדה בקרב משתמשי האינטרנט על ידי הפצת האזהרה על הביטוי של גרסה חדשה של טרויאני בנקאי זאוס.[1] המכונה זאוס פנדה, סוג מסוכן זה של תוכנות זדוניות[2] מסתובב באינטרנט מאז יוני, והשנה גרם למשתמשים לא מודעים בגוגל ובמנועי חיפוש אחרים לרמות אותם לחשוף את אישורי הבנק ואישורים רגישים אחרים שלהם.
גרסה חדשה - אסטרטגיית הפצה חסרת תקדים
הקוד של הטרויאני הבנקאי המקורי של זאוס הודלף ב-2011. מאז, כמה קבוצות של נבלי סייבר ניצלו אותו לפיתוח גרסאות חדשות. עם זאת, לא ניתן להשוות את גרסאות ZeuS ו-Zbot ל-Zeus Panda, שהיא הפורה והמתקדמת ביותר מבחינת תפוצה, חדירה וביצועים.
זאוס פנדה אינו מסתמך על טכניקות הפצה טרויאניות ישנות של זאוס[3] כמו הודעות דואר זבל או הונאות דיוג. המפתחים שלה מנצלים אופטימיזציה למנועי חיפוש (SEO) על ידי מינוף דירוג ה-SERP של גוגל (Search Engine Results Pages) של האתרים שנפרצו. לאתרים מוזרקים מילות מפתח שנבחרו בקפידה, ובכך הופכים את הקישור הזדוני לממוקם בראש תוצאות החיפוש של גוגל.
פושעי סייבר ממקדים לקבוצה מסוימת של מילות מפתח, שאותן נשאלות על ידי מיליוני אנשים. בדרך הספציפית הזו, הסבירות שקורבן פוטנציאלי ילחץ על הקישור הזדוני עולה. לרוע המזל, רשימה מלאה של מילות מפתח נגועות בזאוס פנדה, כמה דוגמאות כבר נחשפו על ידי Talos:
"מספר חשבון בנק של נורדיאה שבדיה"
"שעות העבודה של בנק אל ראג'י במהלך הרמדאן"
"כמה ספרות במספר חשבון הבנק של קארור ויסיה"
"ספרים מקוונים בחינם לבחינת פקיד בנק"
"איך לבטל צ'ק בנק חבר העמים"
"פורמט תלוש משכורת באקסל עם נוסחה להורדה בחינם"
"בדיקת יתרת חשבון בנק אוף בארודה"
"פורמט ערבות בנקאית mt760"
"ספרים מקוונים בחינם לבחינת פקיד בנק"
"טופס הפקדה חוזרת של בנק sbi"
"קישור להורדה של בנק בנק סלולרי"
ביצוע באמצעות מסמך Microsoft Word
פתיחת אתר זדוני לא מוציאה להורג את זאוס. תוכנה זדונית של פנדה מיד. כאשר הקורבן הפוטנציאלי מזין שאילתת חיפוש שנפגעה בגוגל או בחיפוש אחר ופותח אתר שנפגע, הוא או היא חווה סדרה של הפניות מחדש עד שהאתר עם JavaScript מוסווה וקובץ doc פגום נפתח.
אם האדם-על-הדפדפן פותח מסמך של Microsoft Word, הוא יקבל חלון קופץ המבקש "הפעל עריכה", "הפעל תוכן" או אזהרה ש"פקודות מאקרו הושבתו". כל עוד מאקרו לא מופעל, לא ניתן להחדיר את קובץ ההפעלה של Zeus Panda (PE32). לחיצה על "הפעל פקודות מאקרו" מורידה את קובץ ההפעלה הזדוני ושומרת אותו בספריית %TEMP% במערכת באמצעות שם הקובץ הקשה לזיהוי.
פנדה טרויאן מתמקדת כעת במשתמשים הנמצאים בשוודיה, הודו, אוסטרליה וערב הסעודית
נמצא כי הגרסה החדשה של Zeus Trojan מכוונת כעת למשתמשים שוודים, הודים, אוסטרלים וערבים. היקף המפתחים שלה לא ברור, אבל קל לנחש שהם לא הולכים להגביל את הפצת התוכנה הזדונית.
אפילו עכשיו, חלק ממילות המפתח שנחשפו על ידי Talos הן אוניברסליות למדי, למשל, ספרים מקוונים בחינם לבחינת פקיד בנק" או "איך לבטל צ'קים בבנק חבר העמים".
מה שהופך את מסע הפרסום של Zeus Panda Trojan לפורה והמסוכן ביותר הוא העובדה שלתוכנה הזדונית אין ממשק והיא כוללת מנגנון הרס עצמי מפותח.[5] במילים אחרות, זה לא נותן למשתמש במחשב הנגוע להבין שהטרויאני נמצא על הסיפון.
חוץ מזה, כדי למנוע זיהוי וניתוח, וירוס פנדה מאמת את המערכת לפני ביצוע ופועל בסביבה שפויה בלבד. על ידי בדיקת הסביבה הווירטואלית, התוכנה הזדונית מונעת מעצמה לפעול במכונות וירטואליות.
העובדה שמכשירים שבסיסם ברוסיה, בלארוס, אוקראינה וקזחסטן עוקפת הגרסה החדשה ביותר של בנקאות טרויאני עוררה ספקולציות שונות לגבי מקורו. עם ההתקנה, הוא בודק את מיפוי המקלדת ואם הוא תואם לאחת מהמדינות שהוזכרו לעיל, ה-Zeus Panda משמיד את עצמו אוטומטית.
קשה לזהות את התוכנה הזדונית
לגרסה הפנדה של זאוס טרויאני אין התנהגות הרסנית, מה שמקשה או כמעט בלתי אפשרי לזהות אותה. אם הקורבן אינו משתמש בכלי מקצועי נגד תוכנות זדוניות או שהכלי אינו מעודכן, הטרויאני הוא עלול לגנוב את המידע האישי של הקורבן במשך זמן רב למדי.
לדברי מומחי אבטחה,[6] רוב התוכנות המכובדות נגד תוכנות זדוניות מסוגלות לזהות את הקוד הטרויאני של זאוס פנדה. לכן, מומלץ להתקין את ההגדרות העדכניות ביותר עבור כלי האבטחה שלך ולשמור על המשמר.
לבסוף, היזהר לגבי התוכן שאתה לוחץ עליו בעת הגלישה. אם שמתם לב לקישור חשוד, המכיל שגיאות הקלדה או היכנסו לאתר שגורם לסדרה של הפניות מחדש ודחף להוריד PDF או קבצי וורד, אנו ממליצים בחום לעקוף את הקישור של סגירת האתר באופן מיידי אלא אם כן אתה בטוח במאת האחוזים בכך לבטח.