недеља, 5. новембар 2017.

Trojanski napad preko Google pretrage



Sajber kriminalci su ponovo pronašli inovativan način za infekciju korisnika sa trojancem Zeus Panda, zlonamjernog softvera za krađu bankarskih podataka. Cisco Talos sigurnosni tim istraživača je otkrio kampanju širenja ovog trojanca koja koristi Google SEO (search-engine optimization) za izdvajanje ključnih riječi, hakovane internet stranice i posebno pripremljene Word dokumente za infekciju korisnika sa ovim trojancem.

Napadači koriste u prvom koraku Google SERP (Search Engine Results Pages), tako da već hakovane stranice optimizuju da budu među prvim rezultatima pretrage, ako je korisnik postavio upit vezan za bankarstvo i lične finansije. Korisnici koji kliknu na takve web stranice, dolaze na hakovanu web stranicu na kojoj se pokreće JavaScript kod i korisnik se u pozadni prusmjerava preko niza web strnica do jedne na kojoj se nudi preuzimanje Word dokumenta. Ovdje se očekuje od korisnika da pokrene Word dokument i odobri pokretanje macro skripte (slika ispod), što pokreće niz skrivenih komandi za instalaciju nove verzije bankarskog trojanca Zeus


Ovaj zlonamjerni softver ima i nekoliko tehnika za izbjegavanje detekcije, tako da ako otkrije okruženje sa automatskom analizom ili sandbox okruženje, neće se izvršiti u potpunosti i na taj način će pokušati prevariti anti-virusnu zaštitu. Zeus Panda trojanac će nakon infekcije sistema izvršiti provjeru podrazumjevane tastature, pa ako otkrije Rusku, Bjelorusku, Kazahstansku i Ukrajinsku, pokrenuće svoje uklanjanje sa uređaja da bi se onemogućilo lokanim vlastima u čijoj su pravnoj nadležnosti napadači da pokrenu akciju otkrivanja i hapšenja.


Istraživači iz Cisco Talos sigurnosnog tima su otkrili da su ključne riječi pretrage vezane za: radno vrijeme banke, broj računa banke, link za mobilno bankarstvo, upite za različite bankovne formulare, upit za besplatne knjige za polaganje ispita za bankarskog službenika i sl.
 

KAKO SE ZAŠTITI:

1. Koristiti provjereno anti-virusno rješenje.
2. Biti oprezan sa Word dokumentima.
3. Obratiti pažnju na rezultate Internet pretrage.


INFEKCIJA UREĐAJA: Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite iz mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o narednom koraku.