Банківський троян Zeus повертається з новою силою
На початку листопада 2017 року експерти з кібербезпеки почали посилювати занепокоєння користувачів Інтернету, поширюючи попередження про появу нової версії банківського трояна Zeus.[1] Відомий як Zeus Panda, цей небезпечний тип шкідливого програмного забезпечення[2] циркулює в Інтернеті з червня цього року, завдяки чому користувачі Google та інших пошукових систем обманом розкривають свої банківські та інші конфіденційні облікові дані.
Нова версія – безпрецедентна стратегія розповсюдження
Код оригінального банківського трояна Zeus витік у 2011 році. Відтоді кілька груп кібернегідників використовували його для розробки нових варіантів. Однак ні версії ZeuS, ні Zbot не можна порівняти з Zeus Panda, яка є найбільш плідною та передовою за термінами чи розповсюдженням, проникненням та продуктивністю.
Zeus Panda не покладається на старі методи поширення троянів Zeus[3] як-от спам або фішинг-шахрайство. Його розробники використовують пошукову оптимізацію (SEO), використовуючи рейтинг зламаних сайтів Google SERP (Search Engine Results Pages). На веб-сайти вводяться ретельно підібрані ключові слова, завдяки чому шкідливе посилання розміщується у верхній частині результатів пошуку Google.
Кіберзлочинці націлені на певний набір ключових слів, які запитують мільйони людей. Таким чином підвищується ймовірність того, що потенційна жертва натисне на шкідливе посилання. На жаль, повний список ключових слів, заражених Zeus Panda, кілька прикладів уже розкрив Talos:[4]
«номер банківського рахунку Nordea Sweden»
“Години роботи банку al rajhi під час Рамадану”
«скільки цифр у номері банківського рахунку карур вися»
«безкоштовні онлайн-книги для іспиту банківського службовця»
«Як анулювати чек Commonwealth Bank»
«формат зарплатної квитанції в excel з формулою безкоштовно завантажити»
«перевірка балансу рахунку банку Baroda»
«Формат банківської гарантії mt760»
«безкоштовні онлайн-книги для іспиту банківського службовця»
«форма повторного депозиту sbi bank»
«посилання для завантаження мобільного банку axis bank»
Виконання через документ Microsoft Word
Відкриття шкідливого веб-сайту не страчує Зевса. Зловмисне програмне забезпечення Panda негайно. Коли потенційна жертва вводить скомпрометований пошуковий запит у Google чи інший пошук і відкриває скомпрометований веб-сайт, він або вона відчуває серію перенаправлень, поки сайт із замаскованим JavaScript та пошкодженим файлом .doc не буде відкрито.
Якщо користувач у браузері відкриє документ Microsoft Word, він отримає спливаюче вікно із запитом «Увімкнути редагування», «Увімкнути вміст» або попередження, що «Макроси вимкнено». Поки макроси не ввімкнено, виконуваний файл Zeus Panda (PE32) не може бути введений. Натискання кнопки «Увімкнути макроси» завантажує шкідливий виконуваний файл і зберігає його в каталозі %TEMP% у системі, використовуючи важко розпізнане ім’я файлу.
Наразі троян Panda націлений на користувачів у Швеції, Індії, Австралії та Саудівській Аравії
Було виявлено, що новий варіант трояна Zeus наразі націлений на шведських, індійських, австралійських та арабських користувачів. Сфера діяльності його розробників не ясна, але неважко здогадатися, що вони не збираються обмежувати розповсюдження шкідливого ПЗ.
Навіть зараз деякі ключові слова, розкриті Talos, є досить універсальними, наприклад, безкоштовні онлайн-книги для іспиту банківського службовця» або «як анулювати чек Commonwealth bank».
Найбільш плідною та небезпечною троянську кампанію Zeus Panda робить той факт, що зловмисне програмне забезпечення не має інтерфейсу та має добре розроблений механізм самознищення.[5] Іншими словами, це не дає користувачеві зараженого ПК зрозуміти, що троян вбудований.
Крім того, щоб запобігти виявлення та аналізу, Panda virus перевіряє систему перед виконанням і працює лише в нормальному середовищі. Перевіряючи віртуальне середовище, шкідливе програмне забезпечення запобігає запуску на віртуальних машинах.
Той факт, що новітня версія банківського трояна обходить пристрої, що базуються в Росії, Білорусі, Україні та Казахстані, викликав різноманітні спекуляції щодо його походження. Після встановлення він перевіряє розташування клавіатури, і якщо воно відповідає будь-якій із вищезгаданих країн, Zeus Panda автоматично знищується.
Шкідливе програмне забезпечення важко виявити
Варіант Panda Trojan Zeus не має деструктивної поведінки, що ускладнює або практично неможливе виявлення. Якщо жертва не використовує професійний засіб захисту від шкідливих програм або інструмент застарів, троян може викрасти особисту інформацію жертви протягом досить тривалого часу.
За словами експертів з безпеки,[6] більшість відомих антишкідливих програм здатні розпізнавати троянський код Zeus Panda. Тому радимо встановити найновіші визначення для свого інструменту безпеки та не перебувати.
Нарешті, будьте обережні щодо вмісту, на який ви натискаєте під час перегляду. Якщо ви помітили підозріле посилання, яке містить помилки або вводите веб-сайт, що викликає серію перенаправлень і спонукання завантажити PDF або Word, ми настійно рекомендуємо обійти посилання для негайного закриття сайту, якщо ви не впевнені на сто відсотків, що це безпечний.