Распространение троянца Zeus: остерегайтесь поврежденных результатов поиска Google

Банковский троян Zeus возвращается с новой силой

В начале ноября 2017 года эксперты по кибербезопасности начали усиливать беспокойство интернет-пользователей, распространив предупреждение о проявлении новой версии банковского трояна Zeus.[1] Этот опасный тип вредоносного ПО, известный как Zeus Panda.[2] распространяется в Интернете с июня этого года, заставляя неосведомленных пользователей Google и других поисковых систем обманом раскрыть свои банковские и другие конфиденциальные данные.Троян Zeus Panda рассредоточился по результатам поиска в браузере

Новая версия - беспрецедентная стратегия распространения

Код оригинального банковского троянца Zeus просочился в 2011 году. С тех пор несколько групп киберзлодеев использовали его для разработки новых вариантов. Однако ни версии ZeuS, ни Zbot нельзя сравнивать с Zeus Panda, который является наиболее плодовитым и продвинутым с точки зрения распространения, проникновения и производительности.

Zeus Panda не полагается на старые методы распространения троянских программ Zeus[3] например, спам-рассылки или фишинговые рассылки. Его разработчики используют поисковую оптимизацию (SEO), используя рейтинг взломанных сайтов в результатах поиска в Google. На веб-сайты вводятся тщательно подобранные ключевые слова, благодаря чему вредоносная ссылка оказывается в верхней части результатов поиска Google.

Киберпреступники нацелены на определенный набор ключевых слов, которые запрашивают миллионы людей. Таким образом, вероятность того, что потенциальная жертва нажмет на вредоносную ссылку, увеличивается. К сожалению, полный список ключевых слов, зараженных Zeus Panda, несколько примеров уже были обнаружены Талосом:[4]

«Номер банковского счета нордеа швеция»
«График работы банка al rajhi во время рамадана»
«Сколько цифр в каруре выся номер банковского счета»
«Бесплатные онлайн-книги для экзамена на банковского служащего»
«Как отменить чек банка содружества»
«Формат зарплаты в Excel с бесплатной загрузкой формулы»
«Проверка баланса счета в банке бароды»
«Формат банковской гарантии mt760»
«Бесплатные онлайн-книги для экзамена на банковского служащего»
«Форма для повторного депозита sbi bank»
"Ссылка для скачивания мобильного банкинга Axis Bank"

Выполнение через документ Microsoft Word

Открытие вредоносного веб-сайта не приводит к казни Зевса. Вредоносная программа Panda немедленно. Когда потенциальная жертва вводит скомпрометированный поисковый запрос в Google или другой поиск и открывает взломанный веб-сайт, он или она испытывают серию перенаправлений, пока сайт с замаскированным JavaScript и поврежденным файлом .doc не будет открыт.

Если человек в браузере откроет документ Microsoft Word, он получит всплывающее окно с запросом «Разрешить редактирование», «Разрешить контент» или предупреждение о том, что «макросы отключены». Пока макросы не включены, исполняемый файл Zeus Panda (PE32) не может быть внедрен. Нажатие кнопки «Включить макросы» загружает вредоносный исполняемый файл и сохраняет его в каталоге% TEMP% в системе, используя имя файла, который трудно распознать.

Троян Panda в настоящее время нацелен на пользователей из Швеции, Индии, Австралии и Саудовской Аравии.

Выяснилось, что новый вариант троянца Zeus в настоящее время нацелен на пользователей из Швеции, Индии, Австралии и арабских стран. Возможности его разработчиков не ясны, но легко догадаться, что они не собираются ограничивать распространение вредоносного ПО.

Даже сейчас некоторые из ключевых слов, выявленных Talos, являются довольно универсальными, например, бесплатные онлайн-книги для экзамена банковского клерка »или« как отменить чек в банке содружества ».

Что делает кампанию троянца Zeus Panda наиболее плодотворной и опасной, так это то, что вредоносная программа не имеет интерфейса и оснащена хорошо развитым механизмом самоуничтожения.[5] Другими словами, он не позволяет пользователю зараженного компьютера понять, что троянец находится на его борту.

Кроме того, для предотвращения обнаружения и анализа вирус Panda проверяет систему перед запуском и работает только в нормальной среде. Проверяя виртуальную среду, вредоносная программа предотвращает запуск на виртуальных машинах.

Тот факт, что новейшая версия банковского трояна обошла устройства, расположенные в России, Беларуси, Украине и Казахстане, вызвал различные предположения о его происхождении. После установки он проверяет раскладку клавиатуры, и если она соответствует какой-либо из вышеупомянутых стран, Zeus Panda автоматически уничтожается.

Вредоносное ПО сложно обнаружить

Вариант трояна Zeus Trojan Panda не имеет деструктивного поведения, что затрудняет или практически делает невозможным его обнаружение. Если жертва не использует профессиональный инструмент защиты от вредоносных программ или инструмент устарел, троянец может украсть личную информацию жертвы в течение довольно долгого времени.

По мнению экспертов по безопасности,[6] большинство известных антивирусных программ способны распознавать троянский код Zeus Panda. Поэтому рекомендуется установить последние определения для вашего инструмента безопасности и не терять бдительность.

Наконец, будьте осторожны с контентом, который вы нажимаете при просмотре. Если вы заметили подозрительную ссылку, содержащую опечатки, или входите на веб-сайт, который вызывает серию перенаправлений и побуждает загрузить PDF или Word файлов, мы настоятельно рекомендуем сразу же обойти ссылку закрытия сайта, если вы не уверены на сто процентов, что она безопасный.