Khi bạn nghĩ là mình đã biết hết các mánh rồi, những ông thầy malware luôn có thêm chiêu mới khiến bạn bất ngờ.
Một nhóm đã phát tán trojan ngân hàng Zeus Panda từ tháng 6 năm nay. Nhưng thay vì dùng các kỹ thuật spam và quảng cáo độc hại truyền thống, nhóm này lại có một phương pháp mới, chưa từng thấy trong cách phát tán banking trojan từ trước tới giờ.
SEO mũ đen?
Nhóm Zeus Panda sử dụng mạng để hack website, cẩn thận chèn một đoạn key vào trang mới hoặc ẩn key bên trong trang hiện có. Họ sử dụng Google SERP (Search Engine Results Page - bảng xếp hạng kết quả tìm kiếm của Google) để xếp hạng các trang đã bị hack lên đầu trang kết quả tìm kiếm cho một số truy vấn nhất định, liên quan tới ngân hàng và tài chính cá nhân.
Ví dụ như khi một người tìm kiếm “giờ làm việc của ngân hàng Al Rajhi trong tháng Ramadan”, kết quả là các link nhiễm độc sẽ hiện trên đầu trang kết quả tìm kiếm của Google.
Lợi dụng SERP của Google để đưa người dùng tới trang nhiễm độc
Người dùng click vào các link này sẽ được chuyển đến trang đã bị hack, từ đó thực thi đoạn mã JavaScript độc ở chế độ nền và chuyển người dùng tới một series trang cho tới khi tải một tập tin Word về.
Kết hợp spam SEO và quảng cáo độc hại
Chuỗi URL bị chuyển hướng ngày được dùng cho các chiến dịch quảng cáo độc hại, đưa người dùng từ các trang có quảng cáo nhiễm độc tới các bộ công cụ khai thác, hỗ trợ kỹ thuật lừa đảo hay cập nhật phần mềm giả mạo.
Về cơ bản thì Zeus Panda kết hợp botnet spam SEO (gồm các trang bị hack giấu key để tăng danh tiếng SEO của các trang khác) với chuỗi chuyển hướng quảng cáo độc - công cụ khai thác quen thuộc.
Tập tin Word mà người dùng tải về sẽ giống với những gì mà bạn có được qua các email spam. Khác biệt chỉ là cách mà nó chui vào máy bạn mà thôi.
Phiên bản mới của trojan ngân hàng Zeus Panda
Tập tin Word này sẽ dựa trên việc người dùng bật macro thực thi, bắt đầu một chuỗi kịch bản để cài biến thể mới của trojan ngân hàng Zeus Panda, đã được G Data phân tích tại đây. https://cyber.wtf/2017/08/03/zeus-panda-down-to-the-roots/
Cisco Talos - người phát hiện ra chiến dịch phát tán trojan ngân hàng Zeus Panda qua quảng cáo độc hại bằng SEO này cũng đã đưa ra báo cáo chi tiết, gồm cả các truy vấn Google mà các trang nhiễm độc sẽ hiển thị và thông tin bổ sung thêm về biến thể mới của Zeus Panda. http://blog.talosintelligence.com/2017/11/zeus-panda-campaign.html
Xem thêm: 10 phần mềm diệt virus hiệu quả nhất cho Windows 2017