Cautare


06 Noiembrie 2017
Rezultatele cautarii Google, otravite de SEO-ul inteligent al atacatorilor de tip troian

Un grup de atacatori foloseste o combinatie de optimizare pentru motoarele de cautare Google (SEO) pentru cuvinte cheie legate de banca, site-uri compromise si macro-uri Word malitioase pentru a infecta utilizatorii cu Zeus Panda.

Atacatorii au folosit otravirea SEO in trecut pentru a raspandi malware, insa acest grup foloseste tehnica intr-o maniera care se asigura ca link-urile malitioase sunt vazute de oameni care folosesc in mod regulat o banca specifica, realizand un profil al victimelor inainte de infectie. 

Cercetatorii echipei de securitate Cisco Talos au descoperit campania si au evidentiat cautarile de cuvinte cheie care sunt vizate.
Termenii sugereaza ca sunt vizati clientii Nordea Suedia, Banca de Stat a Indiei, Banca din Barodia (India) si Axis Bank, Banca Commonwealth din Australia si Banca Al Rajhi din Arabia Saudita. De asemenea, sunt vizati utilizatorii care cauta detalii despre reteaua bancara SWIFT.

De remarcat este ca, odata ce sistemul este infectat, malware-ul nu se va activa daca detecteaza ca tastatura este in rusa, bielorusa, kazak si ucraineana. Hackerii evita adesea sa vizeze utilizatorii din jurisdictia unde opereaza pentru a evita atragerea atentiei autoritatilor locale de aplicare a legii.

Atacatorii au compromis mai intai o serie de site-uri web autentice de afaceri, iar mai apoi le-a optimizat pentru a aparea in partea de sus a rezultatelor cautarii Google pentru anumiti termeni de cautare.

Potrivit Cisco, atacatorii au reusit sa isi afiseze de mai multe ori rezultatele otravite pe prima pagina a rezultatelor de cautare ale motorului Google.

Termenii de cautare au inclus: 
"nordea sweden bank account number"
"al rajhi bank working hours during ramadan"
"how many digits in karur vysya bank account number"
"free online books for bank clerk exam"
"how to cancel a cheque commonwealth bank"
"salary slip format in excel with formula free download"
"bank of baroda account balance check"
"bank guarantee format mt760"
"free online books for bank clerk exam"
"sbi bank recurring deposit form"
"axis bank mobile banking download link"

Daca o victima viziteaza site-ul compromis, pagina foloseste JavaScript pentru a declansa o serie de redirectionari care, in cele din urma, descarca un document Word malitios. De aici, atacatorii se bazeaza pe ingineria sociala pentru a pacali utilizatorii sa permita executarea codului macro. Macro-urile sunt dezactivate in mod implicit si Microsoft recomanda sa fie patrate in acest mod, in special pentru documente care provin de pe internet.

Atunci cand documentul Word este deschis, afiseaza mesajul: "Pentru a vedea acest continut, faceti click pe "Activeaza Editarea" din bara galbena si apoi faceti click pe "Activeaza Continut"". 
Instructiunea se refera probabil la avertismentul de securitate galben pe care Office il afiseaza atunci cand detecteaza un fisier cu macro-uri. 
Daca utilizatorul apajsa butonul de activare, macro-ul malitios va descarca un executabil care infecteaza sistemul cu Zeus Panda.





Info util

Numai 5 producatori de solutii antivirus, inclusiv ESET, au indeplinit criteriile de detectie si dezinfectare solicitate pentru Windows 7.



Newsletter


Adresa mea de email:
Parteneri

Despre noi

Download

Contact

Strada Retezatului nr.5 / Tg.Mures 540 068
tel/fax:0265 265 910 / contact@smartnews.ro

Publicitate