Összefoglaló
A Talos – Cisco fenyegetés elemző csapata olyan – Google keresés eredményei közé rejtett – káros hivatkozásokra figyelmeztet, melyek a Zeus Panda banki trójaira mutatnak.
Leírás
A most azonosított Zeus Panda újabb verzióját kifejezetten bizalmas banki adatok, hozzáférések megszerzésére készítették. A Talos eredményei azt mutatják, hogy a trójai terjesztésére kereső optimalizálási technikát (Search Engine Optimization – SEO) alkalmaznak. A potenciális áldozatok általi Google kereséshez használt szóösszetételekkel és kifejezésekkel igyekeznek optimalizálni a káros kódot tartalmazó weboldalaikat. Ezzel elérhetik, hogy a keresésre adott válaszok között akár az első helyen is szerepelhetnek a káros tartalmak, ami egy felhasználó számára nem ad okot gyanakvásra. A kereső optimalizáláshoz például az alábbi kifejezéseket használják:
- “nordea sweden bank account number”
- “al rajhi bank working hours during ramadan”
- “how many digits in karur vysya bank account number”
- “free online books for bank clerk exam”
- “how to cancel a cheque commonwealth bank”
- “salary slip format in excel with formula free download”
- “bank of baroda account balance check”
- “bank guarantee format mt760”
- “free online books for bank clerk exam”
- “sbi bank recurring deposit form”
- “axis bank mobile banking download link”
A kompromittálódott oldal megnyitását követően JavaScriptet és HTTP GET kéréseket használva több átirányítást követően a felhasználó végül letölt egy káros kódot tartalmazó Word dokumentumot. A malware elindulását követően leállítja magát amennyiben valamilyen virtuális környezetet észlel, vagy billentyűzet feltérképezésnél valamelyik alábbi nyelvet észleli:
- LANG_RUSSIAN
- LANG_BELARUSIAN
- LANG_KAZAK
- LANG_UKRAINIAN
Káros dokumentumot terjesztő domain:
- mikemuder[.]com
Káros tartalmat terkesztő IP:
- 67[.]195[.]61[.]46
Káros tartalmat terjesztő domainek:
- acountaxrioja[.]es
- alpha[.]gtpo-cms[.]co[.]uk
- arte-corp[.]jp
- bellasweetboutique[.]com
- billing[.]logohelp[.]com
- birsan[.]com[.]tr
- bitumast[.]com
- bleed101[.]com
- blindspotgallery[.]co[.]uk
- blog[.]mitrampolin[.]com
- calthacompany[.]com
- cannonvalley[.]co[.]za
- coinsdealer[.]pl
- corvettescruisingalveston[.]com
- craigchristian[.]com
- dentopia[.]com[.]tr
- dgbeauty[.]net
- dressfortheday[.]com
- evoluzionhealth[.]com
- gemasach[.]com
- japan-recruit[.]net
- jaegar[.]jp
- michaelleeclayton[.]com
- www[.]academiaarena[.]com
- www[.]bethyen[.]com
- www[.]bioinbox[.]ro
- www[.]distinctivecarpet.com
- www[.]helgaleitner[.]at
- www[.]gullsmedofstad[.]no
- usedtextilemachinerylive[.]com
- garagecodes[.]com
- astrodestino[.]com[.]br
Megoldás
A NKI javasolja a cikkben, valamint a hivatkozáson elérhető indikátorok (IoC) alapján az ezek irányába történő kommunikáció tiltását, mellőzését.
Ezen kívül javasolt az Office makrók alapértelmezett tiltása.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Trójai
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.talosintelligence.com
