Zeus banking Trojan återvänder med en ny styrka
I början av november började 2017 cybersäkerhetsexperter öka oro bland internetanvändare genom att sprida varningen om manifestationen av en ny version av Zeus banktrojan.[1] Känd som Zeus Panda, denna farliga typ av skadlig programvara[2] har cirkulerat på Internet sedan juni, och i år har omedvetna användare av Google och andra sökmotorer blivit lurade att avslöja sina bankuppgifter och andra känsliga uppgifter.
Ny version – oöverträffad distributionsstrategi
Koden för den ursprungliga Zeus-banktrojanen läckte ut 2011. Sedan dess har flera grupper av cyberskurkar utnyttjat det för att utveckla nya varianter. Däremot kan varken ZeuS eller Zbot-versioner jämföras med Zeus Panda, som är den mest produktiva och avancerade när det gäller distribution, infiltration och prestanda.
Zeus Panda förlitar sig inte på gamla Zeus trojanska distributionstekniker[3] som skräppost eller nätfiske. Dess utvecklare utnyttjar sökmotoroptimering (SEO) genom att utnyttja Googles SERP-rankning (Search Engine Results Pages) för de hackade webbplatserna. Webbplatserna injiceras med noggrant utvalda sökord, vilket gör att den skadliga länken placeras högst upp i Googles sökresultat.
Cyberbrottslingar riktar sig mot en viss uppsättning sökord, som efterfrågas av miljontals människor. På detta sätt ökar sannolikheten att ett potentiellt offer klickar på den skadliga länken. Tyvärr, en fullständig lista över Zeus Panda-infekterade sökord, ett par exempel har redan avslöjats av Talos:[4]
"nordea sverige bankkontonummer"
“al rajhi banks arbetstider under ramadan”
"hur många siffror i karur vysya bankkontonummer"
"gratis onlineböcker för banktjänstemansexamen"
"hur man avbryter en check commonwealth bank"
"lönebeskedformat i excel med formel gratis nedladdning"
"bank of baroda kontosaldokontroll"
"bankgarantiformat mt760"
"gratis onlineböcker för banktjänstemansexamen"
"sbi bank återkommande insättningsformulär"
"axis bank mobile banking nedladdningslänk"
Utförande via Microsoft Word-dokument
Öppnandet av en skadlig webbplats kör inte Zeus. Panda skadlig kod omedelbart. När det potentiella offret anger en komprometterad sökfråga i Google eller annan sökning och öppnar en komprometterad webbplats, han eller hon upplever en serie omdirigeringar tills webbplatsen med en förtäckt JavaScript och skadad .doc-fil är öppnad.
Om mannen-på-webbläsaren öppnar ett Microsoft Word-dokument kommer han att få ett popup-fönster som ber om "Aktivera redigering", "Aktivera innehåll" eller varning om att "Makron har inaktiverats." Så länge makron inte är aktiverat kan Zeus Panda körbara (PE32) inte injiceras. Genom att klicka på "Aktivera makron" laddas den skadliga körbara filen ned och sparas i katalogen %TEMP% på systemet med det svårigenkännliga filnamnet.
Panda Trojan riktar sig för närvarande till användare i Sverige, Indien, Australien och Saudiarabien
Det har visat sig att den nya Zeus Trojan-varianten för närvarande riktar sig till svenska, indiska, australiensiska och arabiska användare. Omfattningen av dess utvecklare är inte klar, men det är lätt att gissa att de inte kommer att begränsa distributionen av skadlig programvara.
Redan nu är några av nyckelorden som avslöjats av Talos ganska universella, till exempel gratis onlineböcker för banktjänstemansexamen eller "hur man avbryter en check i samväldesbank."
Det som gör Zeus Panda Trojan-kampanjen till den mest produktiva och farliga är det faktum att skadlig programvara inte har något gränssnitt och har en välutvecklad självdestruktionsmekanism.[5] Med andra ord låter den inte användaren av en infekterad dator förstå att trojanen finns ombord.
Dessutom, för att förhindra upptäckt och analys, verifierar Panda-virus systemet innan det körs och körs endast i en sund miljö. Genom att kontrollera den virtuella miljön förhindrar skadlig programvara sig själv från att köras på virtuella maskiner.
Det faktum att enheter baserade i Ryssland, Vitryssland, Ukraina och Kazakstan förbigås av den senaste versionen av banktrojan har väckt olika spekulationer om dess ursprung. Vid installationen kontrollerar den tangentbordsmappen och om den matchar något av de ovan nämnda länderna förstör Zeus Panda sig själv automatiskt.
Skadlig programvara är svår att upptäcka
Panda-varianten av Zeus Trojan har inget destruktivt beteende, vilket gör det svårt eller praktiskt taget omöjligt att upptäcka. Om offret inte använder ett professionellt anti-malware-verktyg eller om verktyget är inaktuellt, kan trojanen stjäla offrets personliga information under ganska lång tid.
Enligt säkerhetsexperter,[6] de flesta av de välrenommerade anti-malware-programmen är kapabla att känna igen Zeus Panda Trojan-koden. Därför är det tillrådligt att installera de senaste definitionerna för ditt säkerhetsverktyg och hålla vakten.
Slutligen, var försiktig med innehållet du klickar på när du surfar. Om du märkte en misstänkt länk som innehåller stavfel eller går in på en webbplats som orsakar en rad omdirigeringar och uppmanar dig att ladda ner PDF eller Word-filer, vi rekommenderar starkt att du kringgår länken för att stänga webbplatsen omedelbart om du inte är hundra procent säker på att det är säkra.