Troianul bancar Zeus revine cu o nouă putere
La începutul lunii noiembrie 2017, experții în securitate cibernetică au început să crească anxietatea în rândul utilizatorilor de internet prin răspândirea avertismentului despre manifestarea unei noi versiuni a troianului bancar Zeus.[1] Cunoscut sub numele de Zeus Panda, acest tip periculos de malware[2] circulă pe internet din iunie, anul acesta făcându-i păcăli pe utilizatorii neștiiți ai Google și a altor motoare de căutare să-și dezvăluie acreditările bancare și alte acreditări sensibile.
Versiune nouă – strategie de distribuție fără precedent
Codul troianului bancar Zeus original a fost divulgat în 2011. De atunci, mai multe grupuri de răufăcători cibernetici l-au exploatat pentru dezvoltarea de noi variante. Cu toate acestea, nici versiunile ZeuS, nici cele Zbot nu pot fi comparate cu Zeus Panda, care este cea mai prolifică și mai avansată în ceea ce privește distribuția, infiltrarea și performanța.
Zeus Panda nu se bazează pe vechile tehnici de distribuție troiene Zeus
[3] cum ar fi e-mailurile spam sau escrocherii de tip phishing. Dezvoltatorii săi exploatează Optimizarea pentru motoarele de căutare (SEO) utilizând clasamentul Google SERP (Pagini cu rezultate ale motoarelor de căutare) a site-urilor piratate. Site-urile sunt injectate cu cuvinte cheie atent alese, astfel încât linkul rău intenționat să fie poziționat în partea de sus a rezultatelor căutării Google.Criminalii cibernetici vizează un anumit set de cuvinte cheie, care sunt interogate de milioane de oameni. În acest mod special, probabilitatea ca o potențială victimă să facă clic pe linkul rău intenționat crește. Din păcate, o listă completă de cuvinte cheie infectate cu Zeus Panda, câteva exemple au fost deja dezvăluite de Talos:[4]
„numărul contului bancar nordea suedia”
„Al Rajhi Bank programul de lucru în timpul Ramadanului”
„câte cifre în numărul contului bancar karur vysya”
„cărți online gratuite pentru examenul de funcționar bancar”
„Cum să anulați un cec al Commonwealth Bank”
„format de fișă de salariu în excel cu descărcare gratuită a formulei”
„verificarea soldului contului bancar baroda”
„format garanție bancară mt760”
„cărți online gratuite pentru examenul de funcționar bancar”
„formular de depozit recurent la banca sbi”
„link de descărcare a serviciilor bancare mobile axis bank”
Execuție prin document Microsoft Word
Deschiderea unui site web rău intenționat nu execută Zeus. Panda malware imediat. Când potențiala victimă introduce o interogare de căutare compromisă în Google sau în altă căutare și deschide un site web compromis, el sau ea experimentează o serie de redirecționări până când site-ul cu JavaScript deghizat și fișierul .doc corupt este deschis.
Dacă omul din browser deschide un document Microsoft Word, va primi o fereastră pop-up care va cere „Activați editarea”, „Activați conținutul” sau avertizând că „Macro-urile au fost dezactivate”. Atâta timp cât Macro-urile nu sunt activate, executabilul Zeus Panda (PE32) nu poate fi injectat. Făcând clic pe „Activați macrocomenzi” se descarcă executabilul rău intenționat și îl salvează în directorul %TEMP% din sistem folosind numele de fișier greu de recunoscut.
Panda Trojan vizează în prezent utilizatorii aflați în Suedia, India, Australia și Arabia Saudită
S-a descoperit că noua variantă troiană Zeus vizează în prezent utilizatorii suedezi, indieni, australieni și arabi. Scopul dezvoltatorilor săi nu este clar, dar este ușor de ghicit că nu vor restricționa distribuția malware-ului.
Chiar și acum, unele dintre cuvintele cheie dezvăluite de Talos sunt destul de universale, de exemplu, cărți online gratuite pentru examenul de funcționar bancar” sau „cum se anulează un cec al unei bănci Commonwealth”.
Ceea ce face ca campania troiană Zeus Panda să fie cea mai prolifică și periculoasă este faptul că malware-ul nu are interfață și are un mecanism de autodistrugere bine dezvoltat.[5] Cu alte cuvinte, nu permite utilizatorului PC-ului infectat să înțeleagă că troianul este la bord.
În plus, pentru a preveni detectarea și analiza, virusul Panda verifică sistemul înainte de execuție și rulează numai într-un mediu sănătos. Prin verificarea mediului virtual, malware-ul se împiedică să ruleze pe mașinile virtuale.
Faptul că dispozitivele din Rusia, Belarus, Ucraina și Kazahstan sunt ocolite de cea mai nouă versiune a troianului bancar a stârnit diverse speculații cu privire la originea acestuia. La instalare, verifică maparea tastaturii și dacă se potrivește cu oricare dintre țările menționate mai sus, Zeus Panda se autodistruge automat.
Malware-ul este greu de detectat
Varianta Panda a troianului Zeus nu are un comportament distructiv, ceea ce face dificil sau practic imposibil de detectat. Dacă victima nu folosește un instrument profesional anti-malware sau instrumentul este învechit, troianul poate fura informațiile personale ale victimei pentru o perioadă destul de lungă.
Potrivit experților în securitate,[6] cele mai multe dintre programele anti-malware reputate sunt capabile să recunoască codul troian Zeus Panda. Prin urmare, este recomandabil să instalați cele mai recente definiții pentru instrumentul dvs. de securitate și să țineți garda sus.
În cele din urmă, fiți atenți la conținutul pe care faceți clic atunci când navigați. Dacă ați observat un link suspect, care conține greșeli de scriere sau intrați pe un site web care provoacă o serie de redirecționări și vă îndemnați să descărcați PDF sau Fișiere Word, vă recomandăm insistent să ocoliți imediat linkul de închidere a site-ului, cu excepția cazului în care sunteți sută la sută sigur că este sigur.