info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

توزیع تروجان بانکی Zeus Panda از طریق مسمومیت SEO

خلاصه: بسیاری از مردم همیشه از قابلیت جستجوی گوگل استفاده می‌کنند و نمی‌دانند که نتایج جستجو و صرفاً رتبه‌ی بالای یک سایت به معنی ایمن بودن آن نخواهد بود. مسمومیت SEO به‌خودی‌خود جدید نیست و بسیاری از افراد همیشه سعی می‌کنند نتایج جستجو را دستکاری کنند اما چیزی که حائز اهمیت است این است که اخیراً مهاجمان از مسمومیت SEO برای توزیع بدافزار Zeus Panda کرده‌اند.​

مجرمان سایبری از SEO برای بالا بردن رتبه‌ی لینک‌های مخرب در نتایج گوگل جهت آلوده کردن قربانی با تروجان استفاده می‌کنند. بسیاری از مردم از گوگل برای جستجو استفاده می‌کنند و نمی‌دانند که نتایج آن همیشه امن نیست. مهاجمان از این اعتماد مردم با استفاده از SEO برای توزیع تروجان بانکی Zeus Panda از طریق اسناد Word مخرب، سوءاستفاده می‌کنند.

SEO مجرمان سایبری را قادر می‌سازد تا لینک‌هایشان بیشتر در نتایج جستجو ظاهر شود. در این مورد آن‌ها نتایج برای کلیدواژه‌های خاص مربوط به بانک و امور مالی را مسموم می‌کنند و به‌طور مؤثر قربانیان خود را به یک گروه خاص محدود کرده‌اند.

مسمومیت SEO به‌خودی‌خود جدید نبوده و مردم همیشه سعی می‌کنند که نتایج جستجو را دستکاری کنند. اما چیزی که این مورد را منحصر‌به‌فرد می‌کند این است که مهاجمان از مسمومیت SEO برای توزیع یک بدافزار استفاده می‌کنند.

براساس کلیدواژه‌های استفاده شده به نظر می‌رسد که مهاجمان مناطق جغرافیایی خاصی را مورد هدف قرار می‌دهند. برخی مثال‌ها از جستجوی کلیدواژه‌های مورد هدف واقع شده شامل «ساعت کاری بانک الریاضی در طول ماه رمضان» و «فرم سپرده‌ی بازگشتی بانک Sbi» می‌باشد.

در این کمپین هکرها از وب‌سرورهای هک شده برای اطمینان از اینکه لینک‌های مخرب به طور برجسته در نتایج جستجوها ظاهر می‌شوند استفاده کرده‌اند. اکثر مواقع آن‌ها با موفقیت چندین لینک مسموم شده را بر روی صفحه‌ی نتایج نمایش داده‌اند. لینک‌ها مشکوک به‌نظر نمی‌رسند چراکه مهاجمان فعالیت‌های خود را پشت وب‌سایت‌های تجاری هک‌شده که قبلاً دارای رتبه‌بندی بودند پنهان می‌کنند. معمولاً قربانیان به یک سایت که یک سند Word مخرب را میزبانی می‌کند هدایت می‌شوند. و سند شامل ماکروهای مخربی است که زمانی که کاربر آن را دانلود و بر روی دکمه‌ی “Enable Content” کلیک می‌کنند اجرا می‌شود.

محققان متوجه شدند که پیلود مخرب مورد نظر یک نسخه‌ی جدید از تروجان بانکی Zeus Panda است که داده‌های حساس مانند اطلاعات بانکی را به سرقت می‌برد. نمونه‌ای که محققان تالوس بررسی کردند یک پیلود بدافزار چند مرحله‌ای بود. و طبق گفته‌ی محققان اولین گام آن شامل چندین تکنیک ضد تحلیل و ضد شناسایی بوده است که مهندسی معکوس را برای تحلیل‌گران پیچیده می‌کند.

این بدافزار ایتدا جستجویی را بر روی کیبورد برای تشخیص زبان سیستم انجام می‌دهد و اگر روسیه‌ای، بلاروسی، قزاق یا اوکراینی را تشخیص دهد پایان می‌یابد. نسخه‌های قبل‌تر Zeus Panda نیز نشان دادند که این بدافزار بر روی سیستم‌های روسیه، اوکراین، بلاروس و قزاقستان اجرا نمی‌شود.

این بدافزار چک می‌کند که آیا بر روی یک Vmware، VirtualBox، SandBox یا Wine و … اجرا می‌شود، و در آخر اسکنی را برای ابزارهایی که برای تحلیل استفاده می‌شوند انجام می‌دهد. اگر هر کدام از این بررسی‌ها نتیجه ی مثبت داشته باشند بدافزار خود را از روی ماشین حذف خواهد کرد. محققان هنوز نمی‌توانند با صراحت بگویند که بازیگران پشت این بدافزار با مهاجمان تهدید Zeus Panda یکی هستند.

محققان بر اهمیت آموزش کاربران در برابر این تکنیک تأکید می‌کنند و هشدار می‌دهند که بالا بودن رتبه‌ی یک لینک در جستجوی گوگل به معنی ایمن بودن آن لینک نیست.

بنابراین مطمئن شوید که زمانی که از طریق گوگل یا هر موتور جستجویی اقدام به جستجو می‌کنید دقیقاً می‌دانید که در حال ورود به چه سایتی هستید.