Uma das últimas vezes que ouvimos falar do Trojan Panda ZeuS foi em junho, 2017. Pelo visto, o Trojan bancário foi usado mais uma vez em novas campanhas maliciosas, conforme relatado por pesquisadores do Cisco Talos. Contudo, há uma diferença na forma como essas campanhas foram realizadas. Em vez de construir o método de distribuição em campanhas de phishing e spam, invasores usaram técnicas de malvertising e SEO de chapéu preto.
O grupo de invasores construiu sua operação em uma rede de sites invadidos, onde inseriram palavras-chave cuidadosamente selecionadas em novas páginas, ou ocultá-los nas páginas existentes. Os hackers exploraram a classificação SERP do Google para colocar as páginas maliciosas no topo dos resultados de pesquisa do Google para consultas de pesquisa específicas vinculadas a finanças pessoais e bancárias.
Os usuários que foram enganados e clicaram nos links seriam direcionados ao site invadido. Uma vez lá, código JavaScript malicioso seria executado em segundo plano e redirecionaria a vítima para uma série de sites. O destino final seria um site que hospeda um documento do Microsoft Word pronto para download.
disse brevemente, atacantes mistos 1) SEO de chapéu preto na forma de botnets de spam de sites hackeados e palavras-chave ocultas para aumentar a reputação de SEO de outros sites, com 2) abordagem de malvertising em que o usuário é levado a uma cadeia de redirecionamento. Quanto ao documento Word implantado na operação - seria como se fosse recebido por e-mail de spam.
Para que a carga útil seja ativada, o usuário teria que habilitar macros. Uma vez habilitado, essas macros ativariam uma série de scripts ocultos que eventualmente levariam à instalação da versão mais recente do Zeus Panda.
“A configuração geral e operação da infraestrutura usada para distribuir este malware foi interessante, pois não dependia dos métodos de distribuição que o Talos regularmente vê sendo usados para a distribuição de malware. Este é outro exemplo de como os invasores refinam e alteram regularmente suas técnicas e ilustra por que o consumo contínuo de inteligência de ameaças é essencial para garantir que as organizações permaneçam protegidas contra novas ameaças ao longo do tempo,”Cisco Talos escreveu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: