O Trojan bancário Zeus retorna com uma nova força
No início de novembro de 2017, especialistas em segurança cibernética começaram a aumentar a ansiedade entre os usuários da Internet, espalhando o alerta sobre a manifestação de uma nova versão do Trojan bancário Zeus.[1] Conhecido como Zeus Panda, este tipo perigoso de malware[2] tem circulado na Internet desde junho, este ano fazendo com que usuários desavisados do Google e de outros mecanismos de busca fossem enganados para revelar suas credenciais bancárias e outras credenciais confidenciais.
Nova versão - estratégia de distribuição sem precedentes
O código do cavalo de Tróia bancário Zeus original vazou em 2011. Desde então, vários grupos de vilões cibernéticos o exploraram para o desenvolvimento de novas variantes. No entanto, nem as versões do ZeuS nem do Zbot podem ser comparadas ao Zeus Panda, que é o mais prolífico e avançado em termos de distribuição, infiltração e desempenho.
O Zeus Panda não depende das antigas técnicas de distribuição do cavalo de Tróia Zeus
Os cibercriminosos visam um determinado conjunto de palavras-chave, que são consultadas por milhões de pessoas. Dessa forma específica, a probabilidade de uma vítima em potencial clicar no link malicioso aumenta. Infelizmente, uma lista completa de palavras-chave infectadas pelo Zeus Panda, alguns exemplos já foram revelados pelo Talos:[4]
“Número da conta bancária da Suécia”
“Horário de trabalho do banco al rajhi durante o ramadã”
“Quantos dígitos no número da conta bancária karur vysya”
“Livros online grátis para exame de funcionário de banco”
“Como cancelar um cheque banco da Commonwealth”
“Formato de comprovante de salário em excel com download gratuito de fórmula”
“Verificação do saldo da conta do banco de baroda”
“Formato de garantia bancária mt760”
“Livros online grátis para exame de funcionário de banco”
“Formulário de depósito recorrente do banco sbi”
“Link de download do banco móvel do banco do eixo”
Execução via documento do Microsoft Word
A abertura de um site malicioso não executa o Zeus. Malware Panda imediatamente. Quando a vítima potencial insere uma consulta de pesquisa comprometida no Google ou outra pesquisa e abre um site comprometido, ele experimenta uma série de redirecionamentos até que o site com um JavaScript disfarçado e um arquivo .doc corrompido seja aberto.
Se o man-on-the-browser abrir um documento do Microsoft Word, ele receberá uma janela pop-up perguntando: “Habilitar edição”, “Habilitar conteúdo” ou avisando que “as macros foram desativadas”. Enquanto as macros não estiverem habilitadas, o executável Zeus Panda (PE32) não pode ser injetado. Clicar em “Ativar macros” baixa o executável malicioso e salva-o no diretório% TEMP% no sistema usando o nome de arquivo difícil de reconhecer.
O Trojan da Panda atualmente tem como alvo usuários localizados na Suécia, Índia, Austrália e Arábia Saudita
Foi descoberto que a nova variante do cavalo de Tróia Zeus tem como alvo usuários suecos, indianos, australianos e árabes. O escopo de seus desenvolvedores não é claro, mas é fácil adivinhar que eles não vão restringir a distribuição do malware.
Mesmo agora, algumas das palavras-chave reveladas pelo Talos são bastante universais, por exemplo, livros online gratuitos para exame de funcionário de banco ”ou“ como cancelar um cheque banco da Commonwealth ”.
O que torna a campanha do Trojan Zeus Panda a mais prolífica e perigosa é o fato de que o malware não tem uma interface e apresenta um mecanismo de autodestruição bem desenvolvido.[5] Em outras palavras, ele não permite que o usuário do PC infectado entenda que o Trojan está a bordo.
Além disso, para evitar detecção e análise, o Panda virus verifica o sistema antes da execução e é executado apenas em um ambiente lógico. Ao verificar o ambiente virtual, o malware evita que seja executado em máquinas virtuais.
O fato de dispositivos baseados na Rússia, Bielo-Rússia, Ucrânia e Cazaquistão serem contornados pela mais nova versão do cavalo de Tróia bancário despertou várias especulações sobre sua origem. Após a instalação, verifica o mapeamento do teclado e se corresponder a algum dos países acima mencionados, o Zeus Panda destrói-se automaticamente.
O malware é difícil de detectar
A variante Panda do Trojan Zeus não tem um comportamento destrutivo, o que o torna difícil ou praticamente impossível de ser detectado. Se a vítima não usar uma ferramenta anti-malware profissional ou se a ferramenta estiver desatualizada, o Trojan pode roubar as informações pessoais da vítima por um longo tempo.
De acordo com especialistas em segurança,[6] a maioria dos programas anti-malware respeitáveis são capazes de reconhecer o código do Trojan Zeus Panda. Portanto, é aconselhável instalar as definições mais recentes para sua ferramenta de segurança e manter a guarda.
Por fim, seja cauteloso com o conteúdo em que você clica ao navegar. Se você notou um link suspeito, que contém erros de digitação ou entrar em um site que causa uma série de redirecionamentos e necessidade de baixar PDF ou Arquivos do Word, recomendamos fortemente que você ignore o link de fechamento do site imediatamente, a menos que você tenha cem por cento de certeza de que é seguro.