Банкарски тројанац Зеус враћа се са новом снагом
Почетком новембра 2017. стручњаци за сајбер безбедност почели су да повећавају анксиозност међу корисницима интернета ширењем упозорења о појављивању нове верзије Зеус банкарског тројанца.[1] Позната као Зеус Панда, ова опасна врста малвера[2] кружи интернетом од јуна, ове године чинећи несвесне кориснике Гугла и других претраживача превареним да открију своје банкарске и друге осетљиве акредитиве.
Нова верзија – стратегија дистрибуције без преседана
Шифра оригиналног Зеусовог банкарског тројанца процурила је 2011. године. Од тада га је неколико група сајбер зликоваца искористило за развој нових варијанти. Међутим, ни ЗеуС ни Збот верзије се не могу поредити са Зеус Пандом, која је најплоднија и најнапреднија у смислу дистрибуције, инфилтрације и перформанси.
Зеус Панда се не ослања на старе технике дистрибуције Зеус Тројана[3] као што су нежељене е-поруке или преваре за „пецање“. Његови програмери користе оптимизацију претраживача (СЕО) користећи Гоогле СЕРП (Странице са резултатима претраживача) рангирање хакованих сајтова. Веб локације су убризгане пажљиво одабраним кључним речима, чиме се злонамерни линк налази на врху резултата Гоогле претраге.
Сајбер криминалци циљају одређени скуп кључних речи, које се питају милиони људи. На овај начин се повећава вероватноћа да ће потенцијална жртва кликнути на злонамерну везу. Нажалост, Талос је већ открио пуну листу кључних речи заражених Зеус Пандом, неколико примера:[4]
“број банковног рачуна нордеа шведске”
“радно време ал рајхи банке током рамазана”
„колико цифара у броју банковног рачуна карур висиа“
„бесплатне онлајн књиге за испит банкарског службеника“
„како отказати чек Цоммонвеалтх банке“
„формат платног листа у Екцелу са формулом за бесплатно преузимање“
“провера стања на рачуну банке Барода”
“формат банковне гаранције мт760”
„бесплатне онлајн књиге за испит банкарског службеника“
„образац за периодични депозит сби банке“
„линк за преузимање мобилног банкарства акис банке“
Извођење преко Мицрософт Ворд документа
Отварање злонамерне веб странице не погубљује Зевса. Панда малвер одмах. Када потенцијална жртва унесе компромитовани упит за претрагу у Гоогле или другу претрагу и отвори угрожену веб локацију, он или она доживљава низ преусмеравања све док сајт са прикривеним ЈаваСцрипт-ом и оштећеном .доц датотеком не буде отворен.
Ако човек у претраживачу отвори Мицрософт Ворд документ, добиће искачући прозор са питањем да „Омогући уређивање“, „Омогући садржај“ или упозоравајући да су „Макрои онемогућени“. Све док макрои нису омогућени, извршни фајл Зеус Панда (ПЕ32) се не може убацити. Кликом на „Омогући макрое“ преузима се злонамерни извршни фајл и чува га у директоријуму %ТЕМП% на систему користећи тешко препознатљиво име датотеке.
Панда Тројан тренутно циља кориснике који се налазе у Шведској, Индији, Аустралији и Саудијској Арабији
Утврђено је да нова варијанта Зеус Тројан тренутно циља на шведске, индијске, аустралијске и арапске кориснике. Обим његових програмера није јасан, али лако је претпоставити да неће ограничити дистрибуцију малвера.
Чак и сада, неке од кључних речи које је открио Талос су прилично универзалне, на пример, бесплатне књиге на мрежи за испит банкарског службеника“ или „како поништити чек Цоммонвеалтх банке“.
Оно што Зеус Панда Тројан кампању чини најплоднијом и најопаснијом је чињеница да злонамерни софтвер нема интерфејс и има добро развијен механизам самоуништења.[5] Другим речима, не дозвољава кориснику зараженог рачунара да схвати да је тројанац уграђен.
Осим тога, да би спречио откривање и анализу, Панда вирус верификује систем пре извршења и ради само у здравом окружењу. Проверавањем виртуелног окружења, малвер се спречава да се покрене на виртуелним машинама.
Чињеница да најновија верзија банкарског тројанца заобилази уређаје који се налазе у Русији, Белорусији, Украјини и Казахстану изазвала је разне спекулације о његовом пореклу. Након инсталације, проверава мапирање тастатуре и ако одговара било којој од горе наведених земаља, Зеус Панда се аутоматски уништава.
Малвер је тешко открити
Панда варијанта Зеус Тројан нема деструктивно понашање, што га чини тешким или практично немогућим за откривање. Ако жртва не користи професионални алат за заштиту од малвера или је алат застарео, тројанац може да украде личне податке жртве прилично дуго.
Према речима стручњака за безбедност,[6] већина реномираних анти-малвер програма је у стању да препозна тројански код Зеус Панда. Због тога је препоручљиво да инсталирате најновије дефиниције за свој безбедносни алат и да будете опрезни.
Коначно, будите опрезни у вези са садржајем на који кликнете када претражујете. Ако сте приметили сумњиву везу, која садржи грешке у куцању или уђете на веб локацију која изазива низ преусмеравања и нагон да преузмете ПДФ или Ворд датотеке, топло препоручујемо да одмах заобиђете везу за затварање сајта осим ако нисте сто посто сигурни да је то безбедно.