Zeus banking Trojas zirgs atgriežas ar jaunu spēku
2017. gada novembra sākumā kiberdrošības eksperti sāka vairot interneta lietotāju satraukumu, izplatot brīdinājumu par Zeus banking Trojas zirga jaunas versijas izpausmi.[1] Pazīstams kā Zeus Panda, šī bīstamā ļaunprogrammatūra[2] Internetā cirkulē kopš jūnija, šogad liekot Google un citu meklētājprogrammu lietotājiem, kas nav informēti, atklāt savus banku un citus sensitīvus akreditācijas datus.
Jaunā versija – bezprecedenta izplatīšanas stratēģija
Sākotnējā Zeus banku Trojas zirga kods tika nopludināts 2011. gadā. Kopš tā laika vairākas kiberneliešu grupas to izmantoja jaunu variantu izstrādei. Tomēr ne ZeuS, ne Zbot versijas nevar salīdzināt ar Zeus Panda, kas ir visproduktīvākā un progresīvākā ziņā vai izplatīšanas, iefiltrēšanās un veiktspējas ziņā.
Zeus Panda nepaļaujas uz vecajām Zeus Trojas zirgu izplatīšanas metodēm[3] piemēram, surogātpasta vēstules vai pikšķerēšanas krāpniecības. Tās izstrādātāji izmanto meklētājprogrammu optimizāciju (SEO), izmantojot Google SERP (Search Engine Results Pages) uzlauzto vietņu rangu. Tīmekļa vietnēs tiek ievadīti rūpīgi izvēlēti atslēgvārdi, tādējādi ļaunprātīgā saite tiek novietota Google meklēšanas rezultātu augšdaļā.
Kibernoziedznieku mērķauditorija ir noteikta atslēgvārdu kopa, kuru vaicā miljoniem cilvēku. Šādā veidā palielinās iespējamība, ka potenciālais upuris noklikšķinās uz ļaunprātīgās saites. Diemžēl pilnu Zeus Panda inficēto atslēgvārdu sarakstu, dažus piemērus Talos jau ir atklājis:[4]
“Nordea zviedrijas bankas konta numurs”
“al rajhi bank darba laiks ramadāna laikā”
“cik ciparu karur vysya bankas konta numurā”
“Bezmaksas tiešsaistes grāmatas bankas darbinieka eksāmenam”
"Kā atcelt čeku Sadraudzības banku"
"algas biļetes formāts Excel ar formulu bez maksas lejupielādēt"
"Bankas Baroda konta atlikuma pārbaude"
"bankas garantijas formāts mt760"
“Bezmaksas tiešsaistes grāmatas bankas darbinieka eksāmenam”
“sbi bankas atkārtotā depozīta veidlapa”
“Asis bankas mobilās bankas lejupielādes saite”
Izpilde, izmantojot Microsoft Word dokumentu
Ļaunprātīgas vietnes atvēršana neizpilda Zevu. Panda ļaunprogrammatūra nekavējoties. Kad potenciālais upuris Google vai citā meklēšanā ievada uzlauztu meklēšanas vaicājumu un atver uzlauztu vietni, viņš vai viņa piedzīvo virkni novirzīšanas, līdz tiek parādīta vietne ar slēptu JavaScript un bojātu .doc failu. atvērts.
Ja lietotājs pārlūkprogrammā atver Microsoft Word dokumentu, viņš saņems uznirstošo logu ar lūgumu “Iespējot rediģēšanu”, “Iespējot saturu” vai brīdinājums, ka “Makro ir atspējoti”. Kamēr makro nav iespējoti, Zeus Panda izpildāmo failu (PE32) nevar ievadīt. Noklikšķinot uz “Iespējot makro”, tiek lejupielādēts ļaunprātīgais izpildāmais fails un saglabāts sistēmas direktorijā %TEMP%, izmantojot grūti atpazīstamo faila nosaukumu.
Pašlaik Panda Trojan mērķauditorija ir lietotāji, kas atrodas Zviedrijā, Indijā, Austrālijā un Saūda Arābijā
Noskaidrots, ka jaunais Trojas zirga Zeus variants pašlaik ir paredzēts Zviedrijas, Indijas, Austrālijas un Arābijas lietotājiem. Tās izstrādātāju darbības joma nav skaidra, taču ir viegli uzminēt, ka viņi neierobežos ļaunprātīgas programmatūras izplatīšanu.
Pat tagad daži no Talos atklātajiem atslēgvārdiem ir diezgan universāli, piemēram, bezmaksas tiešsaistes grāmatas bankas ierēdņa eksāmenam vai "kā atcelt čeku sadraudzības banku".
Zeus Panda Trojas zirgu kampaņu par visproduktīvāko un bīstamāko padara fakts, ka ļaunprātīgajai programmatūrai nav saskarnes un tai ir labi izstrādāts pašiznīcināšanās mehānisms.[5] Citiem vārdiem sakot, tas neļauj inficētā datora lietotājam saprast, ka Trojas zirgs ir iebūvēts.
Turklāt, lai novērstu atklāšanu un analīzi, Panda vīruss pārbauda sistēmu pirms izpildes un darbojas tikai saprātīgā vidē. Pārbaudot virtuālo vidi, ļaunprogrammatūra neļauj darboties virtuālajās mašīnās.
Fakts, ka Krievijā, Baltkrievijā, Ukrainā un Kazahstānā bāzētās ierīces tiek apietas ar jaunāko banku Trojas zirgu versiju, raisījis dažādas spekulācijas par tās izcelsmi. Pēc instalēšanas tas pārbauda tastatūras kartējumu un, ja tas atbilst kādai no iepriekš minētajām valstīm, Zeus Panda automātiski iznīcina sevi.
Ļaunprātīgo programmatūru ir grūti noteikt
Zeus Trojas zirga Panda variantam nav destruktīvas uzvedības, kas padara to grūti vai praktiski neiespējamu noteikt. Ja upuris neizmanto profesionālu ļaunprātīgas programmatūras novēršanas rīku vai rīks ir novecojis, Trojas zirgs var nozagt upura personisko informāciju diezgan ilgu laiku.
Pēc drošības ekspertu domām,[6] vairums cienījamo pretļaunprogrammatūras programmu spēj atpazīt Zeus Panda Trojas kodu. Tāpēc ir ieteicams instalēt jaunākās drošības rīka definīcijas un būt uzmanīgiem.
Visbeidzot, esiet piesardzīgs attiecībā uz saturu, uz kura noklikšķināt pārlūkošanas laikā. Ja pamanījāt aizdomīgu saiti, kurā ir drukas kļūdas, vai ievadāt vietni, kas izraisa virkni novirzīšanas un mudina lejupielādēt PDF vai Word failus, mēs ļoti iesakām apiet saiti, lai nekavējoties aizvērtu vietni, ja vien neesat simtprocentīgi pārliecināts, ka tā ir drošs.