Arcydzieło hakerów – wirus Zeus narzuca się wśród wyników wyszukiwania

Zeus powraca w nowej formie trojana bankowego

Cyberprzestępcy nie zaprzestali szukania wyszukanyh technik do łapania użytkowników w pułapki. Wygląda na to, że typowe strategie malvertisingowe i użycie exploitów przestały ich zadowalać. Żądza pieniądza inspiruje oszustów do tworzenia coraz przebieglejszych technik penetracyjnych malware. Najświeższa z nich jest godna uwagi.

Oszuści ostrożnie wprowadzili specyficzne słowa kluczowe w rzeczywistych oraz zhakowanych stronach. Najpewniej skorzystali oni z pomocy kilku botów, by podnieś miejsce stron w rankingu Google SERP (ranking stron wyników wyszukiwarki). Gdy użytkownicy wpiszą jeden z nich w przeglądarkę, ryzykują wejściem w objęcia trojana bankowego Zeus Panda. Tutaj kilka przykładowych słów kluczowych:

  • „axis bank mobile banking download link”
  • „bank of baroda account balance check”
  • „bank guarantee format mt760″”how many digits in karur vysya bank account number”
  • „free online books for bank clerk exam”
  • „how to cancel a cheque commonwealth bank”
  • „nordea sweden bank account number”
  • „sbi bank recurring deposit form”

Sugeruje to bardzo szeroką kampanię tego wirusa – szczególnie zaś kampanię nastawioną pod bankowego trojana. Celuje on w użytkowników w Szwecji, Indiach oraz krajach arabskich. Niektóre z tych słów kluczowych są dość uniwersalne, co tylko sprawia, że kampania może być dużo gorsza.

Wykonywanie poprzez makra

Gdy użytkownicy wpisują hasło do wyszukania, są przekierowywani przez kilka stron i lądują ostatecznie na stronie w ukrytym kodem JavaScript pobierającym spreparowany plik .doc.

W obecnym stadium Zeus działa podobnie do ransomware. Jeśli makra są domyślnie wyłączone, dokument pyta się o ich włączenie w celu zobaczenia zawartości. Po włączeniu makr, zostaje pobrany plik wykonywalny malware'a obodok.exe, który następnie zistaje umieszczony w folderze %Temp%.

Zwodnicza fasada i samozniszczenie

Malware ten jest w rzeczy samej dobrze zaprogramowany, gdyż ma wbudowaną nawet specyficzną „odporność” na wykrycie. Poszukuje popularnych środowisk sandboksowych. Jeśli znajdzie jakąkolwiek z aplikacji będących u niego na liście, niszczy się i zostawia plik wsadowy. Plik w folderze %Temp% także zostaje usunięty. Później, malware kontynuuje proces i usuwa plik źródłowy.

Poza tym, wygląda na to, że malware ma kilka wyjątków. Jeśli wniknie do systemu i wykryje język rosyjski, ukraiński, białoruski lub kazachski, eliminuje się sam.

Sposoby na ucieczkę przed malware

Na szczęście, według VirusTotal, nowa wersja wirusa Zeus jest już teraz wykrywalna przez większość narzędzi antywirusowych. Obecnie, aktualizacja oprogramowania jest jedynym sosobem na obniżenie ryzyka napotkania tego wirtualnego zagrożenia. Użytkownicy powinni tez wiedzieć, co klikają i pobierają z sieci. Ci korzystający z urządzeń mobilnych – zwłaszcza ci z Androidem – powinni zainstalować kilka różnych rodzajów ochrony przed malware, ponieważ są oni szczególnie narażeni na atak tego trojana bankowego.

O autorze
Julie Splinters
Julie Splinters - Specjalistka od usuwania oprogramowania malware

Julie Splinters jest Edytorem Newsów na UsuńWirusa. Posiada magistra z filologii angielskiej.

Skontaktuj się z autorem
O firmie Esolutions

Przeczytaj także w innych językach
Pliki
Software
Porównaj