Zeus bankacılık Truva atı yeni bir güçle geri döndü
2017 yılının Kasım ayının başında siber güvenlik uzmanları, Zeus bankacılık Truva Atı'nın yeni bir sürümünün tezahürüyle ilgili uyarıyı yayarak İnternet kullanıcıları arasında endişeyi artırmaya başladı.[1] Zeus Panda olarak bilinen bu tehlikeli kötü amaçlı yazılım türü[2] Haziran ayından bu yana internette dolaşıyor, bu yıl Google ve diğer arama motorlarının habersiz kullanıcılarının bankacılık ve diğer hassas kimlik bilgilerini ifşa etmelerine neden oldu.
Yeni sürüm – benzeri görülmemiş dağıtım stratejisi
Orijinal Zeus bankacılık Truva Atı'nın kodu 2011'de sızdırıldı. O zamandan beri, birkaç siber kötü adam grubu, yeni varyantların geliştirilmesi için onu kullandı. Ancak, ne Zeus ne de Zbot sürümleri, dağıtım, sızma ve performans açısından en üretken ve gelişmiş olan Zeus Panda ile karşılaştırılamaz.
Zeus Panda, eski Zeus Trojan dağıtım tekniklerine güvenmiyor[3] istenmeyen e-postalar veya kimlik avı dolandırıcılıkları gibi. Geliştiricileri, saldırıya uğramış sitelerin Google SERP (Arama Motoru Sonuç Sayfaları) sıralamasından yararlanarak Arama Motoru Optimizasyonundan (SEO) yararlanır. Web sitelerine özenle seçilmiş anahtar kelimeler enjekte edilir, böylece kötü amaçlı bağlantı Google arama sonuçlarının en üstünde yer alır.
Siber suçlular, milyonlarca insan tarafından sorgulanan belirli bir anahtar kelime grubunu hedefler. Bu özel yolla, potansiyel bir kurbanın kötü niyetli bağlantıya tıklama olasılığı artar. Ne yazık ki, Zeus Panda bulaşmış anahtar kelimelerin tam listesi, Talos tarafından birkaç örnek zaten ortaya çıktı:[4]
"nordea isveç banka hesap numarası"
“al rajhi bankası ramazanda çalışma saatleri”
“karur vysya banka hesap numarası kaç haneli”
“banka memuru sınavı için ücretsiz çevrimiçi kitaplar”
“Check Commonwealth Bank Nasıl İptal Edilir”
“Formül ücretsiz indirme ile excel'de maaş bordrosu formatı”
“banka baroda hesap bakiye kontrolü”
“banka garanti formatı mt760”
“banka memuru sınavı için ücretsiz çevrimiçi kitaplar”
“sbi banka yinelenen mevduat formu”
“eksen bankası mobil bankacılık indirme linki”
Microsoft Word belgesi aracılığıyla yürütme
Kötü niyetli bir web sitesinin açılması Zeus'u çalıştırmaz. Panda kötü amaçlı yazılımı hemen. Potansiyel kurban, Google'a veya başka bir aramaya güvenliği ihlal edilmiş bir arama sorgusu girdiğinde ve güvenliği ihlal edilmiş bir web sitesi açtığında, gizlenmiş bir JavaScript ve bozuk .doc dosyası bulunan site kapatılıncaya kadar bir dizi yönlendirme yaşar. açıldı.
Tarayıcıdaki adam bir Microsoft Word belgesi açarsa, "Düzenlemeyi Etkinleştir", "İçeriği Etkinleştir" veya "Makrolar devre dışı bırakıldı" uyarısı. Makrolar etkinleştirilmediği sürece Zeus Panda yürütülebilir dosyası (PE32) enjekte edilemez. "Makroları etkinleştir"e tıklamak, kötü amaçlı yürütülebilir dosyayı indirir ve tanınması zor dosya adını kullanarak sistemdeki %TEMP% dizinine kaydeder.
Panda Trojan şu anda İsveç, Hindistan, Avustralya ve Suudi Arabistan'da bulunan kullanıcıları hedefliyor
Yeni Zeus Truva Atı varyantının şu anda İsveçli, Hintli, Avustralyalı ve Arap kullanıcıları hedef aldığı tespit edildi. Geliştiricilerinin kapsamı net değil, ancak kötü amaçlı yazılımın dağıtımını kısıtlamayacaklarını tahmin etmek kolay.
Şimdi bile, Talos tarafından açıklanan bazı anahtar kelimeler oldukça evrenseldir, örneğin, banka memuru sınavı için ücretsiz çevrimiçi kitaplar" veya "bir çek devlet bankası nasıl iptal edilir".
Zeus Panda Truva Atı kampanyasını en üretken ve tehlikeli yapan şey, kötü amaçlı yazılımın bir arayüze sahip olmaması ve iyi geliştirilmiş bir kendi kendini yok etme mekanizmasına sahip olmasıdır.[5] Başka bir deyişle, virüslü PC kullanıcısının Truva atının yerleşik olduğunu anlamasına izin vermez.
Ayrıca, algılama ve analizleri önlemek için Panda virüsü, sistemi çalıştırmadan önce doğrular ve yalnızca aklı başında bir ortamda çalışır. Kötü amaçlı yazılım, sanal ortamı kontrol ederek kendisinin sanal makinelerde çalışmasını engeller.
Rusya, Beyaz Rusya, Ukrayna ve Kazakistan merkezli cihazların bankacılık Truva Atı'nın en yeni versiyonu tarafından baypas edilmesi, kökeni hakkında çeşitli spekülasyonlara yol açtı. Kurulumun ardından klavye eşleştirmesini kontrol eder ve yukarıda belirtilen ülkelerden herhangi biriyle eşleşmesi durumunda Zeus Panda kendini otomatik olarak yok eder.
Kötü amaçlı yazılımın tespit edilmesi zor
Zeus Trojan'ın Panda varyantının yıkıcı bir davranışı yoktur, bu da tespit edilmesini zorlaştırır veya pratik olarak imkansız hale getirir. Mağdur profesyonel bir kötü amaçlı yazılımdan koruma aracı kullanmıyorsa veya araç güncel değilse, Truva Atı kurbanın kişisel bilgilerini oldukça uzun bir süre çalabilir.
Güvenlik uzmanlarına göre,[6] Saygın kötü amaçlı yazılımdan koruma programlarının çoğu, Zeus Panda Truva Atı kodunu tanıyabilir. Bu nedenle, güvenlik aracınız için en son tanımları yüklemeniz ve korumayı sürdürmeniz önerilir.
Son olarak, göz atarken tıkladığınız içerik konusunda dikkatli olun. Yazım hatası içeren şüpheli bir bağlantı fark ettiyseniz veya bir dizi yönlendirmeye neden olan ve PDF veya Word dosyaları, olduğundan yüzde yüz emin değilseniz, siteyi hemen kapatma bağlantısını atlamanızı şiddetle tavsiye ederiz. güvenli.