Zeus banking Trojos arklys grįžta su nauja jėga
2017 metų lapkričio pradžioje kibernetinio saugumo ekspertai pradėjo didinti internautų nerimą, išplatindami įspėjimą apie naujos Zeus bankinės Trojos arklys versijos pasireiškimą.[1] Šis pavojingas kenkėjiškų programų tipas yra žinomas kaip Zeus Panda[2] Internete cirkuliuoja nuo birželio mėn., todėl šiais metais nežinantys „Google“ ir kitų paieškos sistemų naudotojai buvo apgaudinėjami atskleisdami savo bankininkystės ir kitus jautrius kredencialus.
Nauja versija – precedento neturinti platinimo strategija
Originalaus Zeus banko Trojos arklys kodas buvo nutekintas 2011 m. Nuo tada kelios kibernetinių piktadarių grupės išnaudojo jį naujų variantų kūrimui. Tačiau nei ZeuS, nei Zbot versijų negalima lyginti su Zeus Panda, kuri yra pati produktyviausia ir pažangiausia pagal platinimą, įsiskverbimą ir našumą.
Zeus Panda nepasikliauja senais Zeus Trojan platinimo būdais[3] pvz., šlamšto el. laiškai ar sukčiavimo aferos. Jo kūrėjai išnaudoja paieškos sistemų optimizavimą (SEO), panaudodami „Google SERP“ (paieškos variklio rezultatų puslapių) reitingą, skirtą įsilaužtoms svetainėms. Tinklalapiuose įterpiami kruopščiai parinkti raktiniai žodžiai, todėl kenkėjiška nuoroda yra Google paieškos rezultatų viršuje.
Kibernetiniai nusikaltėliai taikosi į tam tikrą raktinių žodžių rinkinį, kurio užklausa pateikia milijonai žmonių. Šiuo konkrečiu būdu padidėja tikimybė, kad potenciali auka spustelės kenkėjišką nuorodą. Deja, visą Zeus Panda užkrėstų raktinių žodžių sąrašą, kelis pavyzdžius jau atskleidė Talos:[4]
„Nordea Švedijos banko sąskaitos numeris“
„Al rajhi banko darbo laikas ramadano metu“
„kiek skaitmenų yra karur vysya banko sąskaitos numeryje“
„Nemokamos internetinės knygos banko tarnautojo egzaminui“
„Kaip atšaukti čekių sandraugos banką“
„Atlyginimo lapelio formatas excel su formule atsisiųsti nemokamai“
"Bado banko sąskaitos likučio patikrinimas"
"banko garantijos formatas mt760"
„Nemokamos internetinės knygos banko tarnautojo egzaminui“
„sbi banko periodinio indėlio forma“
„Aksis banko mobiliosios bankininkystės atsisiuntimo nuoroda“
Vykdymas naudojant Microsoft Word dokumentą
Kenkėjiškos svetainės atidarymas neįvykdo Dzeuso mirties bausmės. Panda kenkėjiška programa nedelsiant. Kai potenciali auka į Google ar kitą paiešką įveda pažeistą paieškos užklausą ir atidaro pažeistą svetainę, jis arba ji patiria daugybę peradresavimų, kol svetainė su paslėptu „JavaScript“ ir sugadintu .doc failu atidaryta.
Jei naršytojas atidaro „Microsoft Word“ dokumentą, jis gaus iššokantįjį langą, kuriame bus prašoma „Įjungti redagavimą“, „Įjungti turinį“ arba įspėjimas, kad „Makrokomandos buvo išjungtos“. Kol makrokomandos neįjungtos, Zeus Panda vykdomojo failo (PE32) įleisti negalima. Spustelėjus „Įgalinti makrokomandas“, kenkėjiška vykdomoji programa atsisiunčiama ir išsaugoma sistemos %TEMP% kataloge naudojant sunkiai atpažįstamą failo pavadinimą.
„Panda Trojan“ šiuo metu skirta vartotojams, esantiems Švedijoje, Indijoje, Australijoje ir Saudo Arabijoje
Nustatyta, kad naujasis Trojos arklys Zeus variantas šiuo metu skirtas Švedijos, Indijos, Australijos ir Arabijos vartotojams. Jo kūrėjų sritis nėra aiški, tačiau nesunku atspėti, kad jie neketina riboti kenkėjiškų programų platinimo.
Net ir dabar kai kurie Talos atskleisti raktažodžiai yra gana universalūs, pavyzdžiui, nemokamos internetinės knygos banko tarnautojo egzaminui arba „kaip atšaukti čekių sandraugos banką“.
Zeus Panda Trojan kampanija yra pati produktyviausia ir pavojingiausia dėl to, kad kenkėjiška programa neturi sąsajos ir turi gerai išvystytą savęs naikinimo mechanizmą.[5] Kitaip tariant, tai neleidžia užkrėsto kompiuterio vartotojui suprasti, kad Trojos arklys yra kompiuteryje.
Be to, kad būtų išvengta aptikimo ir analizės, Panda virusas patikrina sistemą prieš vykdymą ir veikia tik sveikoje aplinkoje. Tikrindama virtualią aplinką, kenkėjiška programa neleidžia sau veikti virtualiose mašinose.
Tai, kad Rusijoje, Baltarusijoje, Ukrainoje ir Kazachstane esančius įrenginius aplenkia naujausia bankininkystės Trojos arklys versija, sukėlė įvairių spėlionių dėl jos kilmės. Įdiegęs jis patikrina klaviatūros atvaizdavimą ir, jei jis atitinka kurią nors iš aukščiau paminėtų šalių, Zeus Panda automatiškai sunaikina save.
Kenkėjišką programą sunku aptikti
Zeus Trojan Panda variantas neturi destruktyvaus elgesio, todėl jį sunku arba praktiškai neįmanoma aptikti. Jei auka nenaudoja profesionalaus kovos su kenkėjiškomis programomis įrankio arba įrankis yra pasenęs, Trojos arklys gali gana ilgą laiką pavogti aukos asmeninę informaciją.
Pasak saugumo ekspertų,[6] dauguma gerbiamų antikenkėjiškų programų gali atpažinti Zeus Panda Trojos arklys kodą. Todėl patartina įdiegti naujausius saugos įrankio apibrėžimus ir saugotis.
Galiausiai, būkite atsargūs dėl turinio, kurį spustelėsite naršydami. Jei pastebėjote įtartiną nuorodą, kurioje yra rašybos klaidų, arba įeikite į svetainę, kuri sukelia daugybę peradresavimų ir ragina atsisiųsti PDF arba Word failus, primygtinai rekomenduojame nedelsiant apeiti svetainės uždarymo nuorodą, nebent esate šimtu procentų tikri, kad tai saugus.