Zeus Panda Banki trójai

CH azonosító

CH-14280

Angol cím

Zeus Panda banking trojan

Felfedezés dátuma

2017.11.02.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Talos – Cisco fenyegetés elemző csapata olyan – Google keresés eredményei közé rejtett – káros hivatkozásokra figyelmeztet, melyek a Zeus Panda banki trójaira mutatnak.

Leírás

A most azonosított Zeus Panda újabb verzióját kifejezetten bizalmas banki adatok, hozzáférések megszerzésére készítették. A Talos eredményei azt mutatják, hogy a trójai terjesztésére kereső optimalizálási technikát (Search Engine Optimization – SEO) alkalmaznak. A potenciális áldozatok általi Google kereséshez használt szóösszetételekkel és kifejezésekkel igyekeznek optimalizálni a káros kódot tartalmazó weboldalaikat. Ezzel elérhetik, hogy a keresésre adott válaszok között akár az első helyen is szerepelhetnek a káros tartalmak, ami egy felhasználó számára nem ad okot gyanakvásra. A kereső optimalizáláshoz például az alábbi kifejezéseket használják:

  •     “nordea sweden bank account number”
  •     “al rajhi bank working hours during ramadan”
  •     “how many digits in karur vysya bank account number”
  •     “free online books for bank clerk exam”
  •     “how to cancel a cheque commonwealth bank”
  •     “salary slip format in excel with formula free download”
  •     “bank of baroda account balance check”
  •     “bank guarantee format mt760”
  •     “free online books for bank clerk exam”
  •     “sbi bank recurring deposit form”
  •     “axis bank mobile banking download link”

A kompromittálódott oldal megnyitását követően JavaScriptet és HTTP GET kéréseket használva több átirányítást követően a felhasználó végül letölt egy káros kódot tartalmazó Word dokumentumot. A malware elindulását követően leállítja magát amennyiben valamilyen virtuális környezetet észlel, vagy billentyűzet feltérképezésnél valamelyik alábbi nyelvet észleli:

  • LANG_RUSSIAN
  • LANG_BELARUSIAN
  • LANG_KAZAK
  • LANG_UKRAINIAN

Káros dokumentumot terjesztő domain:

  • mikemuder[.]com

Káros tartalmat terkesztő IP:

  • 67[.]195[.]61[.]46

Káros tartalmat terjesztő domainek:

  • acountaxrioja[.]es
  • alpha[.]gtpo-cms[.]co[.]uk
  • arte-corp[.]jp
  • bellasweetboutique[.]com
  • billing[.]logohelp[.]com
  • birsan[.]com[.]tr
  • bitumast[.]com
  • bleed101[.]com
  • blindspotgallery[.]co[.]uk
  • blog[.]mitrampolin[.]com
  • calthacompany[.]com
  • cannonvalley[.]co[.]za
  • coinsdealer[.]pl
  • corvettescruisingalveston[.]com
  • craigchristian[.]com
  • dentopia[.]com[.]tr
  • dgbeauty[.]net
  • dressfortheday[.]com
  • evoluzionhealth[.]com
  • gemasach[.]com
  • japan-recruit[.]net
  • jaegar[.]jp
  • michaelleeclayton[.]com
  • www[.]academiaarena[.]com
  • www[.]bethyen[.]com
  • www[.]bioinbox[.]ro
  • www[.]distinctivecarpet.com
  • www[.]helgaleitner[.]at
  • www[.]gullsmedofstad[.]no
  • usedtextilemachinerylive[.]com
  • garagecodes[.]com
  • astrodestino[.]com[.]br

Megoldás

A NKI javasolja a cikkben, valamint a hivatkozáson elérhető indikátorok (IoC) alapján az ezek irányába történő kommunikáció tiltását, mellőzését.

Ezen kívül javasolt az Office makrók alapértelmezett tiltása.