Zeusトロイの木馬が急増:Google検索結果の破損に注意

その他Dec 20, 2021
click fraud protection

Zeusバンキングトロイの木馬が新たな強みで戻ってきます

2017年11月の初め、サイバーセキュリティの専門家は、新しいバージョンのZeusバンキング型トロイの木馬の出現に関する警告を広めることで、インターネットユーザーの不安を高め始めました。[1] Zeus Pandaとして知られる、この危険なタイプのマルウェア[2] 今年は6月からインターネット上で流通しており、Googleやその他の検索エンジンの知らないユーザーが、銀行やその他の機密性の高い資格情報をだまして明らかにしました。ZeusPandaトロイの木馬がブラウザの検索結果に分散

新しいバージョン–前例のない流通戦略

元のZeusバンキング型トロイの木馬のコードは2011年に漏洩しました。 それ以来、サイバー悪役のいくつかのグループが新しい亜種の開発のためにそれを悪用しました。 ただし、ZeuSバージョンもZbotバージョンも、配布、浸透、およびパフォーマンスの点で最も多作で高度なZeusPandaと比較することはできません。

Zeus Pandaは、古いZeusトロイの木馬配布技術に依存していません[3] スパムメールやフィッシング詐欺のように。 その開発者は、ハッキングされたサイトのGoogle SERP(検索エンジン結果ページ)ランキングを利用して、検索エンジン最適化(SEO)を悪用します。 ウェブサイトには慎重に選択されたキーワードが挿入されているため、悪意のあるリンクがGoogle検索結果の上部に配置されます。

サイバー犯罪者は、何百万人もの人々によって照会される特定のキーワードのセットを標的としています。 この特定の方法では、潜在的な被害者が悪意のあるリンクをクリックする可能性が高くなります。 残念ながら、Zeus Pandaに感染したキーワードの完全なリストは、Talosによってすでにいくつかの例が明らかにされています。[4]

「nordeasweden銀行口座番号」
「ラマダン中のアルラジ銀行の労働時間」
「karurvysya銀行口座番号の桁数」
「銀行員試験のための無料のオンラインブック」
「小切手連邦銀行をキャンセルする方法」
「数式の無料ダウンロードでExcelの給与明細フォーマット」
「バローダ銀行の口座残高チェック」
「銀行保証フォーマットmt760」
「銀行員試験のための無料のオンラインブック」
「sbi銀行定期預金フォーム」
「axisbankmobilebankingダウンロードリンク」

MicrosoftWord文書による実行

悪意のあるWebサイトを開くと、Zeusは実行されません。 パンダマルウェアはすぐに。 潜在的な被害者がGoogleまたは他の検索に侵害された検索クエリを入力し、侵害されたWebサイトを開いた場合、 JavaScriptが偽装され、.docファイルが破損しているサイトが次のようになるまで、彼または彼女は一連のリダイレクトを経験します。 オープンしました。

マンインザブラウザがMicrosoftWordドキュメントを開くと、「編集を有効にする」、「コンテンツを有効にする」、または「コンテンツを有効にする」というポップアップが表示されます。 「マクロが無効になっています」という警告。 マクロが有効になっていない限り、Zeus Panda実行可能ファイル(PE32)を挿入することはできません。 [マクロを有効にする]をクリックすると、悪意のある実行可能ファイルがダウンロードされ、認識しにくいファイル名を使用してシステムの%TEMP%ディレクトリに保存されます。

パンダトロイの木馬は現在、スウェーデン、インド、オーストラリア、サウジアラビアにいるユーザーを標的としています

新しいZeusトロイの木馬の亜種は、現在、スウェーデン、インド、オーストラリア、およびアラビアのユーザーを標的にしていることが判明しています。 開発者の範囲は明確ではありませんが、マルウェアの配布を制限するつもりはないと簡単に推測できます。

現在でも、タロースによって明らかにされたキーワードのいくつかはかなり普遍的です。たとえば、銀行員試験用の無料のオンラインブック」や「小切手連邦銀行をキャンセルする方法」などです。

Zeus Pandaトロイの木馬キャンペーンを最も多作で危険なものにしているのは、マルウェアにインターフェースがなく、十分に開発された自己破壊メカニズムを備えているという事実です。[5] つまり、感染したPCのユーザーは、トロイの木馬が搭載されていることを理解できません。

さらに、検出と分析を防ぐために、Pandaウイルスは実行前にシステムを検証し、正常な環境でのみ実行されます。 仮想環境をチェックすることにより、マルウェアは仮想マシン上での実行を防ぎます。

ロシア、ベラルーシ、ウクライナ、カザフスタンに拠点を置くデバイスが最新バージョンのバンキング型トロイの木馬によって迂回されているという事実は、その起源についてさまざまな憶測を呼んでいます。 インストール時に、キーボードマッピングをチェックし、上記の国のいずれかに一致する場合、ZeusPandaは自動的に破棄します。

マルウェアを検出するのは難しい

Zeusトロイの木馬のPandaバリアントには破壊的な動作がないため、検出が困難または実質的に不可能です。 被害者がプロのマルウェア対策ツールを使用していない場合、またはツールが古くなっている場合、トロイの木馬は被害者の個人情報をかなり長い間盗む可能性があります。

セキュリティの専門家によると、[6] 評判の良いマルウェア対策プログラムのほとんどは、ZeusPandaトロイの木馬コードを認識できます。 したがって、セキュリティツールの最新の定義をインストールし、警戒を怠らないようにすることをお勧めします。

最後に、閲覧するときにクリックするコンテンツに注意してください。 タイプミスを含む疑わしいリンクに気付いた場合、または一連のリダイレクトを引き起こすWebサイトにアクセスし、PDFまたは Wordファイルの場合、サイトをすぐに閉じるというリンクをバイパスすることを強くお勧めします。ただし、サイトが100%確実である場合を除きます。 安全。