Zeus bančni trojanec se vrača z novo močjo
V začetku novembra 2017 so strokovnjaki za kibernetsko varnost začeli povečevati zaskrbljenost med uporabniki interneta s širjenjem opozorila o pojavu nove različice bančnega trojana Zeus.[1] Ta nevarna vrsta zlonamerne programske opreme, znana kot Zeus Panda[2] po spletu kroži že od junija, letos pa zaradi tega, da so nezavedne uporabnike Googla in drugih iskalnikov z zavedenjem razkrili svoje bančne in druge občutljive poverilnice.
Nova različica – strategija distribucije brez primere
Šifra prvotnega bančnega trojanca Zeus je pricurljala leta 2011. Od takrat ga je več skupin kibernetskih zlikovcev izkoristilo za razvoj novih različic. Vendar se niti različice ZeuS niti Zbot ne moreta primerjati z Zeus Pando, ki je najbolj plodna in napredna glede na distribucijo, infiltracijo in zmogljivost.
Zeus Panda se ne zanaša na stare distribucijske tehnike Zeus Trojan[3] kot so neželena e-poštna sporočila ali prevare z lažnim predstavljanjem. Njegovi razvijalci izkoriščajo optimizacijo iskalnikov (SEO) tako, da izkoristijo razvrstitev vdrtih spletnih mest v Googlu SERP (Strani z rezultati iskalnikov). Spletne strani so vbrizgane s skrbno izbranimi ključnimi besedami, s čimer se zlonamerna povezava umesti na vrh Googlovih rezultatov iskanja.
Kibernetski kriminalci ciljajo na določen niz ključnih besed, po katerih se sprašujejo milijoni ljudi. Na ta način se poveča verjetnost, da bo potencialna žrtev kliknila na zlonamerno povezavo. Na žalost je Talos že razkril celoten seznam ključnih besed, okuženih z Zeus Pando, nekaj primerov:[4]
“številka bančnega računa nordea švedska”
“delovni čas al rajhi bank med ramazanom”
"koliko števk v številki bančnega računa karur vysya"
"brezplačne spletne knjige za izpit bančnega uradnika"
"kako preklicati ček Commonwealth Bank"
"format plačilnega lista v excelu z brezplačnim prenosom formule"
“preverjanje stanja na računu bank of baroda”
“format bančne garancije mt760”
"brezplačne spletne knjige za izpit bančnega uradnika"
"obrazec s ponavljajočim se depozitom sbi bank"
“povezava za prenos mobilnega bančništva axis bank”
Izvedba prek dokumenta Microsoft Word
Odpiranje zlonamernega spletnega mesta ne usmrti Zeusa. Zlonamerna programska oprema Panda takoj. Ko potencialna žrtev vnese ogroženo iskalno poizvedbo v Google ali drugo iskanje in odpre ogroženo spletno mesto, doživi vrsto preusmeritev, dokler ni spletno mesto s prikritim JavaScriptom in poškodovano datoteko .doc odprto.
Če človek v brskalniku odpre dokument Microsoft Word, se prikaže pojavno okno z zahtevo »Omogoči urejanje«, »Omogoči vsebino« ali opozorilo, da so »Makri onemogočeni«. Dokler makri niso omogočeni, izvedljive datoteke Zeus Panda (PE32) ni mogoče vbrizgati. S klikom na »Omogoči makre« se zlonamerna izvedljiva datoteka prenese in jo shrani v imenik %TEMP% v sistemu z uporabo težko prepoznavnega imena datoteke.
Panda Trojan trenutno cilja na uporabnike na Švedskem, v Indiji, Avstraliji in Savdski Arabiji
Ugotovljeno je bilo, da nova različica trojana Zeus trenutno cilja na švedske, indijske, avstralske in arabske uporabnike. Obseg njegovih razvijalcev ni jasen, vendar je enostavno uganiti, da ne bodo omejevali distribucije zlonamerne programske opreme.
Tudi zdaj so nekatere ključne besede, ki jih je razkril Talos, precej univerzalne, na primer brezplačne spletne knjige za izpit bančnega uradnika" ali "kako preklicati ček Commonwealth bank".
Najbolj plodna in nevarna je kampanja trojancev Zeus Panda, ker zlonamerna programska oprema nima vmesnika in ima dobro razvit mehanizem samouničenja.[5] Z drugimi besedami, uporabniku okuženega osebnega računalnika ne omogoča, da razume, da je trojanec vgrajen.
Poleg tega, da prepreči odkrivanje in analizo, virus Panda preveri sistem pred izvedbo in deluje samo v zdravem okolju. S preverjanjem navideznega okolja zlonamerna programska oprema preprečuje, da bi se izvajala na navideznih strojih.
Dejstvo, da najnovejša različica bančnega trojana zaobide naprave s sedežem v Rusiji, Belorusiji, Ukrajini in Kazahstanu, je sprožilo različna ugibanja o njegovem izvoru. Ob namestitvi preveri preslikavo tipkovnice in če se ujema s katero koli od zgoraj omenjenih držav, se Zeus Panda samodejno uniči.
Zlonamerno programsko opremo je težko zaznati
Panda različica trojana Zeus nima destruktivnega vedenja, zaradi česar je težko ali praktično nemogoče zaznati. Če žrtev ne uporablja profesionalnega orodja za zaščito pred zlonamerno programsko opremo ali je orodje zastarelo, lahko trojanec dolgo časa ukrade osebne podatke žrtve.
Po mnenju strokovnjakov za varnost,[6] večina uglednih programov proti zlonamerni programski opremi je sposobna prepoznati trojansko kodo Zeus Panda. Zato je priporočljivo namestiti najnovejše definicije za svoje varnostno orodje in skrbeti.
Končno bodite previdni glede vsebine, ki jo kliknete med brskanjem. Če ste opazili sumljivo povezavo, ki vsebuje tipkarske napake ali vnesete spletno stran, ki povzroča vrsto preusmeritev in željo po prenosu PDF oz. Wordove datoteke, močno priporočamo, da zaobidete povezavo za takojšnje zapiranje spletnega mesta, razen če ste stoodstotno prepričani, da je varno.