제우스 뱅킹 트로이목마, 새로운 힘으로 돌아온다
2017년 11월 초, 사이버 보안 전문가들은 제우스 뱅킹 트로이목마의 새로운 버전 출현에 대한 경고를 퍼뜨리며 인터넷 사용자들의 불안을 증폭시키기 시작했습니다.[1] Zeus Panda로 알려진 이 위험한 유형의 맬웨어[2] 올해 6월부터 인터넷에서 유포되어 Google 및 기타 검색 엔진을 인지하지 못하는 사용자를 속여 은행 및 기타 민감한 자격 증명을 공개하도록 했습니다.
새 버전 – 전례 없는 배포 전략
원래 Zeus 뱅킹 트로이 목마의 코드는 2011년에 유출되었습니다. 그 이후로 여러 사이버 악당 그룹이 새로운 변종 개발을 위해 이를 악용했습니다. 하지만 ZeuS나 Zbot 버전 어느 쪽도 유통, 침투, 성능 면에서 가장 다산하고 앞선 Zeus Panda와는 비교할 수 없습니다.
Zeus Panda는 오래된 Zeus 트로이 목마 배포 기술에 의존하지 않습니다.[3] 스팸 이메일이나 피싱 사기와 같은 개발자는 해킹된 사이트의 Google SERP(검색 엔진 결과 페이지) 순위를 활용하여 검색 엔진 최적화(SEO)를 이용합니다. 웹 사이트에는 신중하게 선택한 키워드가 삽입되어 Google 검색 결과 상단에 악성 링크가 위치하게 됩니다.
사이버 범죄자는 수백만 명의 사람들이 쿼리하는 특정 키워드 집합을 목표로 합니다. 이렇게 하면 잠재적 피해자가 악성 링크를 클릭할 가능성이 높아집니다. 불행히도 Zeus Panda에 감염된 키워드의 전체 목록은 Talos에 의해 이미 공개된 몇 가지 예입니다.[4]
"노르데아 스웨덴 은행 계좌 번호"
“라마단 기간 동안 알 라지 은행 근무 시간”
"karur vysya 은행 계좌 번호의 자릿수"
"은행원 시험 무료 온라인 도서"
"수표 커먼 웰스 은행을 취소하는 방법"
"수식 무료 다운로드가 포함된 Excel의 급여 명세서 형식"
“바로다은행 계좌 잔고 확인”
“은행보증서 형식 mt760”
"은행원 시험 무료 온라인 도서"
“sbi은행 정기예금 양식”
“축은행 모바일뱅킹 다운로드 링크”
Microsoft Word 문서를 통한 실행
악성 웹사이트를 열어도 Zeus는 실행되지 않습니다. 즉시 팬더 악성 코드. 잠재적 피해자가 Google 또는 기타 검색에 손상된 검색어를 입력하고 손상된 웹사이트를 열 때, 위장된 JavaScript 및 손상된 .doc 파일이 있는 사이트가 복구될 때까지 일련의 리디렉션이 발생합니다. 열었습니다.
man-on-the-browser가 Microsoft Word 문서를 열면 "Enable Editing", "Enable Content" 또는 "매크로가 비활성화되었습니다."라는 경고가 표시됩니다. 매크로가 활성화되어 있지 않으면 Zeus Panda 실행 파일(PE32)을 삽입할 수 없습니다. "매크로 사용"을 클릭하면 악성 실행 파일이 다운로드되어 인식하기 어려운 파일 이름을 사용하여 시스템의 %TEMP% 디렉터리에 저장됩니다.
Panda Trojan은 현재 스웨덴, 인도, 호주 및 사우디 아라비아에 있는 사용자를 대상으로 합니다.
새로운 Zeus 트로이 목마 변종은 현재 스웨덴, 인도, 호주 및 아라비아 사용자를 대상으로 하는 것으로 나타났습니다. 개발자의 범위는 명확하지 않지만 멀웨어의 배포를 제한하지 않을 것이라고 추측하기 쉽습니다.
지금도 Talos가 공개한 키워드 중 일부는 은행원 시험 무료 온라인 도서" 또는 "수표 커먼웰스 뱅크 취소 방법"과 같이 다소 보편적입니다.
Zeus Panda 트로이 목마 캠페인이 가장 많고 위험한 이유는 멀웨어에 인터페이스가 없고 잘 개발된 자체 파괴 메커니즘이 있다는 사실입니다.[5] 즉, 감염된 PC의 사용자에게 트로이 목마가 내장되어 있음을 알 수 없습니다.
또한 Panda 바이러스는 탐지 및 분석을 방지하기 위해 실행 전에 시스템을 검증하고 정상적인 환경에서만 실행됩니다. 가상 환경을 확인하여 악성 코드가 가상 머신에서 실행되는 것을 방지합니다.
러시아, 벨로루시, 우크라이나 및 카자흐스탄에 기반을 둔 장치가 최신 버전의 뱅킹 트로이 목마에 의해 우회된다는 사실은 그 기원에 대한 다양한 추측을 불러일으켰습니다. 설치 시 키보드 매핑을 확인하고 위에 언급된 국가 중 하나와 일치하는 경우 Zeus Panda는 자동으로 스스로를 파괴합니다.
악성코드는 탐지하기 어렵다
제우스 트로이 목마의 판다 변종은 파괴적인 행동을 하지 않아 탐지가 어렵거나 사실상 불가능합니다. 피해자가 전문적인 맬웨어 방지 도구를 사용하지 않거나 도구가 오래된 경우 트로이 목마는 피해자의 개인 정보를 상당히 오랫동안 도용할 수 있습니다.
보안 전문가에 따르면,[6] 평판이 좋은 대부분의 맬웨어 방지 프로그램은 Zeus Panda 트로이 목마 코드를 인식할 수 있습니다. 따라서 보안 도구에 대한 최신 정의를 설치하고 보안을 유지하는 것이 좋습니다.
마지막으로, 탐색할 때 클릭하는 콘텐츠에 주의하십시오. 오타가 포함된 의심스러운 링크를 발견했거나 일련의 리디렉션을 유발하고 PDF 또는 Word 파일의 경우 사이트를 즉시 닫는 링크를 우회하는 것이 좋습니다. 안전한.