Zeus banking Trojan kommer tilbake med en ny styrke
I begynnelsen av november begynte 2017 cybersikkerhetseksperter å øke angsten blant internettbrukere ved å spre advarselen om manifestasjonen av en ny versjon av Zeus banktrojaner.[1] Kjent som Zeus Panda, denne farlige typen skadelig programvare[2] har sirkulert på internett siden juni, og dette året har gjort uvitende brukere av Google og andre søkemotorer lurt til å avsløre bankopplysninger og andre sensitive opplysninger.
Ny versjon – enestående distribusjonsstrategi
Koden til den originale Zeus-banktrojaneren ble lekket i 2011. Siden den gang har flere grupper cyberskurker utnyttet det til utvikling av nye varianter. Imidlertid kan verken ZeuS eller Zbot-versjoner sammenlignes med Zeus Panda, som er den mest produktive og avanserte når det gjelder distribusjon, infiltrasjon og ytelse.
Zeus Panda er ikke avhengig av gamle Zeus trojanske distribusjonsteknikker[3] som spam-e-post eller phishing-svindel. Utviklerne utnytter søkemotoroptimalisering (SEO) ved å utnytte Google SERP (Search Engine Results Pages)-rangeringen av de hackede nettstedene. Nettstedene er injisert med nøye utvalgte søkeord, og gjør dermed den ondsinnede lenken plassert øverst i Googles søkeresultater.
Cyberkriminelle målretter mot et bestemt sett med søkeord, som spørres av millioner av mennesker. På denne spesielle måten øker sannsynligheten for at et potensielt offer klikker på den ondsinnede lenken. Dessverre, en fullstendig liste over Zeus Panda-infiserte søkeord, et par eksempler har allerede blitt avslørt av Talos:[4]
"nordea sverige bankkontonummer"
“al rajhi bank arbeidstid under ramadan”
"hvor mange sifre i karur vysya bankkontonummer"
"gratis nettbøker for bankkontoreksamen"
"hvordan kansellere en sjekk Commonwealth Bank"
"lønnsslippformat i excel med formel gratis nedlasting"
"bank of baroda kontosaldosjekk"
"bankgaranti format mt760"
"gratis nettbøker for bankkontoreksamen"
“sbi bank gjentakende innskuddsskjema”
"axis bank mobile banking nedlastingslenke"
Utførelse via Microsoft Word-dokument
Åpningen av et ondsinnet nettsted utfører ikke Zeus. Panda malware umiddelbart. Når det potensielle offeret skriver inn et kompromittert søk i Google eller andre søk og åpner et kompromittert nettsted, han eller hun opplever en rekke omdirigeringer til nettstedet med en forkledd JavaScript og ødelagt .doc-fil er åpnet.
Hvis mannen-på-nettleseren åpner et Microsoft Word-dokument, vil han få et popup-vindu som ber om "Aktiver redigering", "Aktiver innhold" eller advarsel om at "Makroer har blitt deaktivert." Så lenge makroer ikke er aktivert, kan den kjørbare Zeus Panda (PE32) ikke injiseres. Ved å klikke på "Aktiver makroer" laster du ned den ondsinnede kjørbare filen og lagrer den i %TEMP%-katalogen på systemet ved å bruke filnavnet som er vanskelig å gjenkjenne.
Panda Trojan retter seg for tiden mot brukere i Sverige, India, Australia og Saudi-Arabia
Det har blitt funnet at den nye Zeus Trojan-varianten for øyeblikket retter seg mot svenske, indiske, australske og arabiske brukere. Omfanget av utviklerne er ikke klart, men det er lett å gjette at de ikke kommer til å begrense distribusjonen av skadelig programvare.
Selv nå er noen av søkeordene avslørt av Talos ganske universelle, for eksempel gratis nettbøker for bankkontoreksamen" eller "hvordan kansellere en sjekk i Commonwealth-bank."
Det som gjør Zeus Panda Trojan-kampanjen til den mest produktive og farlige, er det faktum at skadelig programvare ikke har et grensesnitt og har en velutviklet selvdestruksjonsmekanisme.[5] Med andre ord lar den ikke brukeren av infisert PC forstå at trojaneren er ombord.
Dessuten, for å forhindre gjenkjenning og analyse, verifiserer Panda-virus systemet før kjøring og kjører kun i et fornuftig miljø. Ved å sjekke det virtuelle miljøet forhindrer skadelig programvare seg selv fra å kjøre på virtuelle maskiner.
Det faktum at enheter basert i Russland, Hviterussland, Ukraina og Kasakhstan omgås av den nyeste versjonen av banktrojaner har vekket ulike spekulasjoner om opprinnelsen. Ved installasjonen sjekker den tastaturkartleggingen, og hvis den samsvarer med noen av de ovennevnte landene, ødelegger Zeus Panda seg selv automatisk.
Skadevaren er vanskelig å oppdage
Panda-varianten av Zeus Trojan har ikke en destruktiv oppførsel, noe som gjør den vanskelig eller praktisk talt umulig å oppdage. Hvis offeret ikke bruker et profesjonelt anti-malware-verktøy eller verktøyet er utdatert, kan trojaneren stjele offerets personlige informasjon i ganske lang tid.
Ifølge sikkerhetseksperter,[6] de fleste av de anerkjente anti-malware-programmene er i stand til å gjenkjenne Zeus Panda Trojan-koden. Derfor er det tilrådelig å installere de nyeste definisjonene for sikkerhetsverktøyet ditt og holde vakt.
Til slutt, vær forsiktig med innholdet du klikker på når du surfer. Hvis du la merke til en mistenkelig lenke, som inneholder skrivefeil eller gå inn på et nettsted som forårsaker en rekke omdirigeringer og trang til å laste ned PDF eller Word-filer, vil vi på det sterkeste anbefale å omgå koblingen for å stenge nettstedet umiddelbart med mindre du er hundre prosent sikker på at det er sikre.