Bankový trójsky kôň Zeus sa vracia s novou silou
Začiatkom novembra 2017 začali experti na kybernetickú bezpečnosť zvyšovať úzkosť medzi používateľmi internetu šírením varovania pred prejavom novej verzie bankového trójskeho koňa Zeus.[1] Tento nebezpečný typ malvéru, známy ako Zeus Panda[2] sa šíri internetom od júna, pričom tento rok spôsobil, že nevedomí používatelia Google a iných vyhľadávačov oklamali, aby odhalili svoje bankové a iné citlivé údaje.
Nová verzia – bezprecedentná distribučná stratégia
Kód pôvodného bankového trójskeho koňa Zeus unikol v roku 2011. Odvtedy ho niekoľko skupín kybernetických zloduchov využilo na vývoj nových variantov. Verzie ZeuS ani Zbot sa však nedajú porovnávať so Zeus Panda, ktorá je najplodnejšia a najpokročilejšia z hľadiska distribúcie, infiltrácie a výkonu.
Zeus Panda sa nespolieha na staré distribučné techniky Zeus Trojan[3] spamové e-maily alebo phishingové podvody. Jeho vývojári využívajú optimalizáciu pre vyhľadávače (SEO) tým, že využívajú hodnotenie napadnutých stránok Google SERP (Stránky s výsledkami vyhľadávacieho nástroja). Webové stránky obsahujú starostlivo vybrané kľúčové slová, vďaka čomu je škodlivý odkaz umiestnený v hornej časti výsledkov vyhľadávania Google.
Počítačoví zločinci sa zameriavajú na určitú skupinu kľúčových slov, ktoré vyhľadávajú milióny ľudí. Týmto konkrétnym spôsobom sa zvyšuje pravdepodobnosť, že potenciálna obeť klikne na škodlivý odkaz. Bohužiaľ, Talos už odhalil úplný zoznam kľúčových slov infikovaných Zeus Panda, niekoľko príkladov:[4]
“číslo bankového účtu nordea vo Švédsku”
“pracovná doba banky al rajhi počas ramadánu”
„koľko číslic v karur vysya číslo bankového účtu“
„bezplatné online knihy na skúšku bankového úradníka“
„ako zrušiť šek Commonwealth Bank“
„Formát výplatného lístka v Exceli so vzorcom na stiahnutie zadarmo“
„Kontrola zostatku účtu v banke Baroda“
„Formát bankovej záruky mt760“
„bezplatné online knihy na skúšku bankového úradníka“
„formulár opakovaného vkladu sbi bank“
„Odkaz na stiahnutie mobilného bankovníctva osi bank“
Vykonanie prostredníctvom dokumentu Microsoft Word
Otvorenie škodlivého webu nespustí Zeus. Malvér Panda okamžite. Keď potenciálna obeť zadá kompromitovaný vyhľadávací dopyt do Google alebo iného vyhľadávania a otvorí napadnutú webovú stránku, on alebo ona zažije sériu presmerovaní, kým stránka so skrytým JavaScriptom a poškodeným súborom .doc nebude otvorené.
Ak používateľ v prehliadači otvorí dokument programu Microsoft Word, zobrazí sa mu kontextové okno s výzvou na „Povoliť úpravy“, „Povoliť obsah“ alebo varovanie, že „Makrá boli zakázané“. Kým nie sú povolené makrá, spustiteľný súbor Zeus Panda (PE32) nemožno vložiť. Kliknutím na „Povoliť makrá“ sa stiahne škodlivý spustiteľný súbor a uloží sa do adresára %TEMP% v systéme s ťažko rozpoznateľným názvom súboru.
Panda Trojan sa v súčasnosti zameriava na používateľov vo Švédsku, Indii, Austrálii a Saudskej Arábii
Zistilo sa, že nový variant trójskeho koňa Zeus sa momentálne zameriava na švédskych, indických, austrálskych a arabských používateľov. Rozsah jeho vývojárov nie je jasný, ale je ľahké uhádnuť, že nebudú obmedzovať distribúciu malvéru.
Dokonca aj teraz sú niektoré kľúčové slová, ktoré odhalil Talos, dosť univerzálne, napríklad bezplatné online knihy na skúšku bankového úradníka“ alebo „ako zrušiť šek Commonwealth Bank“.
Čo robí kampaň Zeus Panda Trojan najplodnejšou a najnebezpečnejšou je skutočnosť, že malvér nemá rozhranie a obsahuje dobre vyvinutý mechanizmus sebazničenia.[5] Inými slovami, neumožňuje používateľovi infikovaného počítača pochopiť, že trójsky kôň je na palube.
Okrem toho, aby sa zabránilo detekcii a analýze, vírus Panda overuje systém pred spustením a beží iba v rozumnom prostredí. Kontrolou virtuálneho prostredia sa malvér bráni spusteniu na virtuálnych počítačoch.
Skutočnosť, že zariadenia so sídlom v Rusku, Bielorusku, Ukrajine a Kazachstane najnovšia verzia bankového Trojana obchádza, vyvolala rôzne špekulácie o jeho pôvode. Po inštalácii skontroluje mapovanie klávesnice a ak sa zhoduje s niektorou z vyššie uvedených krajín, Zeus Panda sa automaticky zničí.
Malvér je ťažké odhaliť
Panda variant Zeus Trojan nemá deštruktívne správanie, čo sťažuje alebo prakticky znemožňuje jeho odhalenie. Ak obeť nepoužíva profesionálny nástroj proti malvéru alebo je nástroj zastaraný, trójsky kôň môže ukradnúť osobné údaje obete na pomerne dlhú dobu.
Podľa bezpečnostných expertov[6] väčšina renomovaných antimalvérových programov je schopná rozpoznať kód trójskeho koňa Zeus Panda. Preto sa odporúča nainštalovať najnovšie definície pre váš bezpečnostný nástroj a udržiavať stráž.
Nakoniec si dávajte pozor na obsah, na ktorý pri prehliadaní kliknete. Ak ste si všimli podozrivý odkaz, ktorý obsahuje preklepy alebo zadáte webovú stránku, ktorá spôsobuje sériu presmerovaní a nutkanie stiahnuť si PDF alebo Word, dôrazne odporúčame obísť odkaz na okamžité zatvorenie stránky, pokiaľ si tým nie ste na sto percent istí zabezpečiť.