Sajber kriminalci su ponovo
pronašli inovativan način za infekciju korisnika sa trojancem Zeus Panda,
zlonamjernog softvera za krađu bankarskih podataka. Cisco Talos sigurnosni tim
istraživača je otkrio kampanju širenja ovog trojanca koja koristi Google SEO (search-engine
optimization) za izdvajanje ključnih riječi, hakovane internet stranice i
posebno pripremljene Word dokumente za infekciju korisnika sa ovim trojancem.
Napadači koriste u prvom koraku Google SERP (Search Engine Results
Pages), tako da već hakovane stranice optimizuju da budu među prvim rezultatima
pretrage, ako je korisnik postavio upit vezan za bankarstvo i lične finansije.
Korisnici koji kliknu na takve web stranice, dolaze na hakovanu web stranicu na
kojoj se pokreće JavaScript kod i korisnik se u pozadni prusmjerava preko niza
web strnica do jedne na kojoj se nudi preuzimanje Word dokumenta. Ovdje se
očekuje od korisnika da pokrene Word dokument i odobri pokretanje macro
skripte (slika ispod), što pokreće niz skrivenih komandi za instalaciju nove verzije
bankarskog trojanca Zeus.
Ovaj zlonamjerni softver ima i nekoliko tehnika za izbjegavanje
detekcije, tako da ako otkrije okruženje sa automatskom analizom ili sandbox
okruženje, neće se izvršiti u potpunosti i na taj način će pokušati prevariti
anti-virusnu zaštitu. Zeus Panda trojanac će nakon infekcije sistema izvršiti
provjeru podrazumjevane tastature, pa ako otkrije Rusku, Bjelorusku,
Kazahstansku i Ukrajinsku, pokrenuće svoje uklanjanje sa uređaja da bi se
onemogućilo lokanim vlastima u čijoj su pravnoj nadležnosti napadači da pokrenu
akciju otkrivanja i hapšenja.
Istraživači iz Cisco Talos
sigurnosnog tima su otkrili da su ključne riječi pretrage vezane za: radno
vrijeme banke, broj računa banke, link za mobilno bankarstvo, upite za
različite bankovne formulare, upit za besplatne knjige za polaganje ispita za
bankarskog službenika i sl.
KAKO SE ZAŠTITI:
1. Koristiti provjereno
anti-virusno rješenje.
2. Biti oprezan sa Word
dokumentima.
3. Obratiti pažnju na
rezultate Internet pretrage.
INFEKCIJA UREĐAJA: Ukoliko utvrdite ili sumnjate da vam je uređaj
zaražen, isključite iz mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga
kontaktirajte najbliži servis i informišite se o narednom koraku.