Zeus banking Trojan keert terug met nieuwe kracht
Begin november 2017 begonnen cyberbeveiligingsexperts de angst onder internetgebruikers te vergroten door de waarschuwing te verspreiden over de manifestatie van een nieuwe versie van Zeus banking Trojan.[1] Bekend als Zeus Panda, dit gevaarlijke type malware[2] circuleert sinds juni op internet, waardoor onwetende gebruikers van Google en andere zoekmachines dit jaar werden misleid om hun bankgegevens en andere gevoelige gegevens te onthullen.
Nieuwe versie – ongekende distributiestrategie
De code van de originele Zeus banking-trojan werd in 2011 gelekt. Sindsdien hebben verschillende groepen cyberschurken het uitgebuit voor de ontwikkeling van nieuwe varianten. De versies van ZeuS en Zbot kunnen echter niet worden vergeleken met de Zeus Panda, die de meest productieve en geavanceerde is in termen van distributie, infiltratie en prestaties.
Zeus Panda vertrouwt niet op oude Zeus Trojan-distributietechnieken[3] zoals spam-e-mails of phishing-scams. De ontwikkelaars maken gebruik van Search Engine Optimization (SEO) door gebruik te maken van de Google SERP-ranglijst (Search Engine Results Pages) van de gehackte sites. De websites worden geïnjecteerd met zorgvuldig gekozen trefwoorden, waardoor de kwaadaardige link bovenaan de Google-zoekresultaten wordt geplaatst.
Cybercriminelen richten zich op een bepaalde reeks trefwoorden, die door miljoenen mensen worden opgevraagd. Op deze manier wordt de kans groter dat een potentieel slachtoffer op de kwaadaardige link klikt. Helaas een volledige lijst met door Zeus Panda geïnfecteerde trefwoorden, een paar voorbeelden zijn al onthuld door Talos:[4]
"nordea zweden bankrekeningnummer"
“Al rajhi bank werktijden tijdens ramadan”
"hoeveel cijfers in karur vysya bankrekeningnummer"
"gratis online boeken voor bankbediende examen"
"hoe een cheque van de Commonwealth bank te annuleren"
“salarisstrook formaat in excel met formule gratis download”
"bank of baroda rekeningsaldo controleren"
“bankgarantie formaat mt760”
"gratis online boeken voor bankbediende examen"
“sbi bank periodiek stortingsformulier”
"Axis bank mobiel bankieren downloadlink"
Uitvoering via Microsoft Word-document
Het openen van een kwaadaardige website voert de Zeus niet uit. Panda-malware onmiddellijk. Wanneer het potentiële slachtoffer een gecompromitteerde zoekopdracht invoert in Google of een andere zoekopdracht en een gecompromitteerde website opent, hij of zij ervaart een reeks omleidingen totdat de site met een vermomd JavaScript en een beschadigd .doc-bestand is geopend.
Als de man-in-de-browser een Microsoft Word-document opent, krijgt hij een pop-up met de vraag "Bewerken inschakelen", "Inhoud inschakelen" of waarschuwing dat "Macro's zijn uitgeschakeld." Zolang macro's niet zijn ingeschakeld, kan het uitvoerbare bestand van Zeus Panda (PE32) niet worden geïnjecteerd. Als u op "Macro's inschakelen" klikt, wordt het schadelijke uitvoerbare bestand gedownload en opgeslagen in de map %TEMP% op het systeem met behulp van de moeilijk te herkennen bestandsnaam.
Panda Trojan richt zich momenteel op gebruikers in Zweden, India, Australië en Saoedi-Arabië
Het is gebleken dat de nieuwe Zeus Trojan-variant zich momenteel richt op Zweedse, Indiase, Australische en Arabische gebruikers. De reikwijdte van de ontwikkelaars is niet duidelijk, maar het is gemakkelijk te raden dat ze de verspreiding van de malware niet zullen beperken.
Zelfs nu zijn sommige van de door Talos onthulde trefwoorden vrij universeel, bijvoorbeeld gratis online boeken voor het bankbediende-examen' of 'hoe een cheque van de Commonwealth-bank te annuleren'.
Wat de Zeus Panda Trojan-campagne het meest productief en gevaarlijk maakt, is het feit dat de malware geen interface heeft en een goed ontwikkeld zelfvernietigingsmechanisme heeft.[5] Met andere woorden, het laat de gebruiker van een geïnfecteerde pc niet begrijpen dat de Trojan aan boord is.
Bovendien, om detectie en analyse te voorkomen, verifieert het Panda-virus het systeem voordat het wordt uitgevoerd en werkt het alleen in een normale omgeving. Door de virtuele omgeving te controleren, voorkomt de malware dat hij op virtuele machines draait.
Het feit dat apparaten in Rusland, Wit-Rusland, Oekraïne en Kazachstan worden omzeild door de nieuwste versie van banking Trojan heeft geleid tot verschillende speculaties over de oorsprong ervan. Bij de installatie controleert het de toetsenbordtoewijzing en als het overeenkomt met een van de bovengenoemde landen, vernietigt de Zeus Panda zichzelf automatisch.
De malware is moeilijk te detecteren
De Panda-variant van Zeus Trojan heeft geen destructief gedrag, waardoor het moeilijk of praktisch onmogelijk te detecteren is. Als het slachtoffer geen professionele anti-malwaretool gebruikt of als de tool verouderd is, kan de trojan de persoonlijke gegevens van het slachtoffer voor een lange tijd stelen.
Volgens beveiligingsexperts[6] de meeste van de gerenommeerde anti-malwareprogramma's zijn in staat de Zeus Panda Trojan-code te herkennen. Daarom is het raadzaam om de nieuwste definities voor uw beveiligingstool te installeren en op uw hoede te blijven.
Wees ten slotte voorzichtig met de inhoud waarop u klikt tijdens het browsen. Als u een verdachte link hebt opgemerkt, die typfouten bevat, of als u een website binnengaat die een reeks omleidingen veroorzaakt en u ertoe aanzet om PDF of Word-bestanden, raden we u ten zeerste aan om de link om de site onmiddellijk te sluiten te omzeilen, tenzij u er honderd procent zeker van bent dat dit het geval is zeker.