Zeus Banking Trojan กลับมาพร้อมความแข็งแกร่งใหม่
ในช่วงต้นเดือนพฤศจิกายน 2017 ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์เริ่มเพิ่มความวิตกกังวลให้กับผู้ใช้อินเทอร์เน็ตโดยเผยแพร่คำเตือนเกี่ยวกับการปรากฏตัวของโทรจัน Zeus Banking เวอร์ชันใหม่[1] รู้จักกันในชื่อ Zeus Panda มัลแวร์อันตรายชนิดนี้[2] มีการแพร่ระบาดบนอินเทอร์เน็ตตั้งแต่เดือนมิถุนายน ปีนี้ทำให้ผู้ใช้ Google และเครื่องมือค้นหาอื่นๆ โดยไม่รู้ตัว ถูกหลอกให้เปิดเผยข้อมูลการธนาคารและข้อมูลสำคัญอื่นๆ ที่ละเอียดอ่อน
เวอร์ชันใหม่ – กลยุทธ์การจัดจำหน่ายที่ไม่เคยมีมาก่อน
รหัสของโทรจัน Zeus Banking ดั้งเดิมรั่วไหลในปี 2554 ตั้งแต่นั้นมา อาชญากรไซเบอร์หลายกลุ่มก็ใช้ประโยชน์จากมันเพื่อพัฒนาตัวแปรใหม่ อย่างไรก็ตาม เวอร์ชัน ZeuS และ Zbot ไม่สามารถเปรียบเทียบได้กับ Zeus Panda ซึ่งเป็นรุ่นที่มีความอุดมสมบูรณ์และก้าวหน้าที่สุดในแง่ของการแจกจ่าย การแทรกซึม และประสิทธิภาพ
Zeus Panda ไม่ได้พึ่งพาเทคนิคการแจกจ่าย Zeus Trojan แบบเก่า[3] เช่น อีเมลขยะ หรือกลโกงฟิชชิ่ง นักพัฒนาใช้ประโยชน์จาก Search Engine Optimization (SEO) โดยใช้ประโยชน์จากการจัดอันดับ Google SERP (Search Engine Results Pages) ของไซต์ที่ถูกแฮ็ก เว็บไซต์ต่างๆ ถูกฉีดด้วยคีย์เวิร์ดที่เลือกสรรมาอย่างดี จึงทำให้ลิงก์ที่เป็นอันตรายอยู่ที่ด้านบนสุดของผลการค้นหาของ Google
อาชญากรไซเบอร์กำหนดเป้าหมายไปยังชุดของคีย์เวิร์ดเฉพาะ ซึ่งถูกสอบถามโดยผู้คนนับล้าน ด้วยวิธีนี้ โอกาสที่ผู้มีโอกาสเป็นเหยื่อจะคลิกลิงก์ที่เป็นอันตรายจะเพิ่มขึ้น น่าเสียดายที่รายการคำหลักที่ติดไวรัส Zeus Panda ทั้งหมด ตัวอย่างบางส่วนได้รับการเปิดเผยโดย Talos:[4]
“หมายเลขบัญชีธนาคารของนอร์เดีย สวีเดน”
“ชั่วโมงทำการธนาคารอัลราจีในช่วงรอมฎอน”
“หมายเลขบัญชีธนาคาร karur vysya มีกี่หลัก”
“หนังสือออนไลน์ฟรีสำหรับสอบเสมียนธนาคาร”
“วิธียกเลิกเช็คธนาคารคอมมอนเวลธ์”
“รูปแบบสลิปเงินเดือนใน excel พร้อมสูตรดาวน์โหลดฟรี”
“เช็คยอดเงินในบัญชีธนาคารบาโรดา”
“รูปแบบการค้ำประกันของธนาคาร mt760”
“หนังสือออนไลน์ฟรีสำหรับสอบเสมียนธนาคาร”
“แบบฟอร์มการฝากเงินประจำธนาคาร sbi”
“ลิงค์ดาวน์โหลดธนาคารบนมือถือ axis bank”
ดำเนินการผ่านเอกสาร Microsoft Word
การเปิดเว็บไซต์ที่เป็นอันตรายจะไม่ดำเนินการกับ Zeus มัลแวร์แพนด้าทันที เมื่อผู้ที่อาจเป็นเหยื่อป้อนคำค้นหาที่ถูกบุกรุกใน Google หรือการค้นหาอื่นๆ และเปิดเว็บไซต์ที่ถูกบุกรุก เขาหรือเธอประสบกับชุดของการเปลี่ยนเส้นทางจนกระทั่งไซต์ที่มี JavaScript ปลอมแปลงและไฟล์ .doc ที่เสียหายคือ เปิด
หากคนบนเบราว์เซอร์เปิดเอกสาร Microsoft Word เขาจะได้รับป๊อปอัปถาม "เปิดใช้งานการแก้ไข" "เปิดใช้งานเนื้อหา" หรือ เตือนว่า “มาโครถูกปิดใช้งาน” ตราบใดที่ไม่ได้เปิดใช้งาน Macros จะไม่สามารถฉีด Zeus Panda executable (PE32) ได้ การคลิก "เปิดใช้งานมาโคร" จะดาวน์โหลดไฟล์ปฏิบัติการที่เป็นอันตรายและบันทึกลงในไดเร็กทอรี %TEMP% ในระบบโดยใช้ชื่อไฟล์ที่ยากต่อการจดจำ
ปัจจุบัน Panda Trojan กำหนดเป้าหมายผู้ใช้ที่อยู่ในสวีเดน อินเดีย ออสเตรเลีย และซาอุดีอาระเบีย
พบว่าโทรจัน Zeus รุ่นใหม่กำลังกำหนดเป้าหมายผู้ใช้ชาวสวีเดน อินเดีย ออสเตรเลีย และอาหรับ ขอบเขตของนักพัฒนาไม่ชัดเจน แต่ง่ายต่อการคาดเดาว่าพวกเขาจะไม่จำกัดการแจกจ่ายมัลแวร์
แม้แต่ตอนนี้ คำหลักบางคำที่ Talos เปิดเผยนั้นค่อนข้างเป็นสากล เช่น หนังสือออนไลน์ฟรีสำหรับการสอบเสมียนธนาคาร” หรือ “วิธียกเลิกเช็คธนาคารเครือจักรภพ”
สิ่งที่ทำให้แคมเปญ Zeus Panda Trojan อุดมสมบูรณ์และอันตรายที่สุดคือความจริงที่ว่ามัลแวร์ไม่มีอินเทอร์เฟซและมีกลไกการทำลายตนเองที่พัฒนาขึ้นมาอย่างดี[5] กล่าวอีกนัยหนึ่ง ไม่อนุญาตให้ผู้ใช้พีซีที่ติดไวรัสเข้าใจว่าโทรจันอยู่บนเครื่อง
นอกจากนี้ เพื่อป้องกันการตรวจจับและวิเคราะห์ ไวรัส Panda จะตรวจสอบระบบก่อนดำเนินการและทำงานในสภาพแวดล้อมที่เหมาะสมเท่านั้น โดยการตรวจสอบสภาพแวดล้อมเสมือน มัลแวร์จะป้องกันตัวเองไม่ให้ทำงานบนเครื่องเสมือน
ความจริงที่ว่าอุปกรณ์ที่อยู่ในรัสเซีย เบลารุส ยูเครน และคาซัคสถานถูกข้ามโดยโทรจันธนาคารรุ่นใหม่ล่าสุดได้กระตุ้นการคาดเดาต่าง ๆ เกี่ยวกับที่มาของมัน เมื่อทำการติดตั้ง มันจะตรวจสอบการแมปแป้นพิมพ์และหากตรงกับประเทศใด ๆ ที่กล่าวถึงข้างต้น Zeus Panda จะทำลายตัวเองโดยอัตโนมัติ
มัลแวร์ที่ตรวจจับได้ยาก
โทรจัน Zeus รุ่น Panda ของ Panda ไม่มีพฤติกรรมที่ทำลายล้าง ซึ่งทำให้ตรวจจับได้ยากหรือแทบจะเป็นไปไม่ได้เลย หากเหยื่อไม่ได้ใช้เครื่องมือป้องกันมัลแวร์แบบมืออาชีพหรือเครื่องมือนี้ล้าสมัย โทรจันอาจขโมยข้อมูลส่วนบุคคลของเหยื่อมาเป็นเวลานาน
ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่า[6] โปรแกรมป้องกันมัลแวร์ที่มีชื่อเสียงส่วนใหญ่สามารถจดจำรหัส Zeus Panda Trojan ได้ ดังนั้นจึงแนะนำให้ติดตั้งข้อกำหนดล่าสุดสำหรับเครื่องมือรักษาความปลอดภัยของคุณและรักษาความปลอดภัย
สุดท้าย ให้ระมัดระวังเกี่ยวกับเนื้อหาที่คุณคลิกเมื่อเรียกดู หากคุณสังเกตเห็นลิงก์ที่น่าสงสัยซึ่งมีข้อผิดพลาดในการพิมพ์ผิดหรือเข้าสู่เว็บไซต์ที่ทำให้เกิดการเปลี่ยนเส้นทางและกระตุ้นให้ดาวน์โหลดไฟล์ PDF หรือ ไฟล์ Word เราขอแนะนำอย่างยิ่งให้ข้ามลิงก์ของการปิดเว็บไซต์ทันที เว้นแต่คุณจะแน่ใจร้อยเปอร์เซ็นต์ว่าเป็นจริง ปลอดภัย.