Trojan bankowy Zeus powraca z nową siłą
Na początku listopada 2017 r. eksperci ds. cyberbezpieczeństwa zaczęli zwiększać niepokój wśród użytkowników Internetu, rozpowszechniając ostrzeżenie o pojawieniu się nowej wersji trojana bankowego Zeus.[1] Ten niebezpieczny rodzaj złośliwego oprogramowania, znany jako Zeus Panda,[2] krąży w Internecie od czerwca, w tym roku skłaniając nieświadomych użytkowników Google i innych wyszukiwarek do ujawnienia swoich danych bankowych i innych poufnych danych uwierzytelniających.
Nowa wersja – bezprecedensowa strategia dystrybucji
Kod oryginalnego trojana bankowego Zeus wyciekł w 2011 roku. Od tego czasu kilka grup cyberprzestępców wykorzystywało go do opracowywania nowych wariantów. Jednak ani wersji ZeuSa, ani Zbota nie można porównać do Zeusa Panda, który jest najbardziej płodny i zaawansowany pod względem dystrybucji, infiltracji i wydajności.
Zeus Panda nie polega na starych technikach dystrybucji trojana Zeus[3] takie jak spam lub oszustwa phishingowe. Jego twórcy wykorzystują optymalizację pod kątem wyszukiwarek (SEO), wykorzystując ranking zhakowanych witryn Google SERP (Search Engine Results Pages). Strony internetowe są wstrzykiwane ze starannie dobranymi słowami kluczowymi, dzięki czemu szkodliwy link znajduje się na szczycie wyników wyszukiwania Google.
Cyberprzestępcy atakują określony zestaw słów kluczowych, które są przeszukiwane przez miliony ludzi. W ten konkretny sposób wzrasta prawdopodobieństwo, że potencjalna ofiara kliknie złośliwy link. Niestety pełna lista słów kluczowych zainfekowanych Zeus Panda, kilka przykładów zostało już ujawnionych przez Talos:[4]
„Nordea Szwecja numer konta bankowego”
„godziny pracy banku al rajhi podczas ramadanu”
„ile cyfr w numerze konta bankowego karur vysya”
„bezpłatne książki online do egzaminu bankowego”
„jak anulować bank czekowy”
„Format paska wynagrodzenia w programie Excel z darmowym pobraniem formuły”
„sprawdzenie salda rachunku bankowego baroda”
„format gwarancji bankowej mt760”
„bezpłatne książki online do egzaminu bankowego”
„formularz wpłaty cyklicznej banku sbi”
„link do pobrania bankowości mobilnej axis bank”
Wykonywanie za pomocą dokumentu Microsoft Word
Otwarcie złośliwej strony internetowej nie uruchamia Zeusa. Złośliwe oprogramowanie Panda natychmiast. Gdy potencjalna ofiara wprowadzi zhakowane zapytanie w Google lub inne wyszukiwanie i otworzy zhakowaną witrynę, doświadcza serii przekierowań, dopóki witryna z zamaskowanym kodem JavaScript i uszkodzonym plikiem .doc nie zostanie otwierany.
Jeśli człowiek w przeglądarce otworzy dokument Microsoft Word, otrzyma wyskakujące okienko z pytaniem „Włącz edycję”, „Włącz zawartość” lub ostrzeżenie, że „Makra zostały wyłączone”. Dopóki makra nie są włączone, nie można wstrzyknąć pliku wykonywalnego Zeus Panda (PE32). Kliknięcie przycisku „Włącz makra” powoduje pobranie złośliwego pliku wykonywalnego i zapisanie go w katalogu %TEMP% w systemie przy użyciu trudnej do rozpoznania nazwy pliku.
Trojan Panda obecnie atakuje użytkowników znajdujących się w Szwecji, Indiach, Australii i Arabii Saudyjskiej
Stwierdzono, że nowy wariant trojana Zeus jest obecnie wymierzony w użytkowników ze Szwecji, Indii, Australii i Arabów. Zakres jego twórców nie jest jasny, ale łatwo zgadnąć, że nie będą ograniczać dystrybucji złośliwego oprogramowania.
Nawet teraz niektóre słowa kluczowe ujawnione przez Talosa są dość uniwersalne, na przykład darmowe książki online do egzaminu na urzędnika bankowego” lub „jak anulować czek bankowy”.
To, co sprawia, że kampania trojana Zeus Panda jest najbardziej płodna i niebezpieczna, to fakt, że złośliwe oprogramowanie nie posiada interfejsu i posiada dobrze rozwinięty mechanizm autodestrukcji.[5] Innymi słowy, nie pozwala użytkownikowi zainfekowanego komputera zrozumieć, że trojan jest na pokładzie.
Poza tym, aby zapobiec wykryciu i analizie, wirus Panda weryfikuje system przed uruchomieniem i działa tylko w zdrowym środowisku. Sprawdzając środowisko wirtualne, złośliwe oprogramowanie zapobiega uruchomieniu się na maszynach wirtualnych.
Fakt, że urządzenia z Rosji, Białorusi, Ukrainy i Kazachstanu są omijane przez najnowszą wersję trojana bankowego, wzbudził różne spekulacje na temat jego pochodzenia. Po instalacji sprawdza mapowanie klawiatury i jeśli pasuje do któregoś z wyżej wymienionych krajów, Zeus Panda samoczynnie się zniszczy.
Złośliwe oprogramowanie jest trudne do wykrycia
Wariant Panda trojana Zeus nie wykazuje destrukcyjnego zachowania, co utrudnia lub praktycznie uniemożliwia jego wykrycie. Jeśli ofiara nie korzysta z profesjonalnego narzędzia antywirusowego lub narzędzie jest nieaktualne, trojan może przez dość długi czas kraść dane osobowe ofiary.
Według ekspertów ds. bezpieczeństwa,[6] większość renomowanych programów antywirusowych jest w stanie rozpoznać kod trojana Zeus Panda. Dlatego zaleca się zainstalowanie najnowszych definicji narzędzia zabezpieczającego i utrzymywanie ochrony.
Na koniec zachowaj ostrożność w odniesieniu do treści, które klikasz podczas przeglądania. Jeśli zauważyłeś podejrzany link, który zawiera błędy literowe lub wchodzisz na stronę, która powoduje serię przekierowań i zachęca do pobrania PDF lub Pliki Word, zdecydowanie zalecamy ominięcie linku do natychmiastowego zamknięcia witryny, chyba że masz stuprocentową pewność, że tak jest bezpieczne.