آلوده کردن نتایج جستجوی گوگل برای توزیع تروجان بانکی پاندا زئوس

 

اخیرا تروجان بانکی با نام پاندا زئوس مشاهده شده که از نتایج جستجوهای گوگل که مربوط به کلمات کلیدی بانک ها هستند و آلوده شده اند، استفاده می کند تا دستگاه های قربانیان را آلوده کند. در بخش هایی از این حمله، مهاجمان از ابزار بهینه سازی نتایج جستجو در گوگل استفاده می کنند تا محبوبیت لینک های مخرب خود را بالا ببرند. این مهاجمان بیشتر کلمات کلیدی مربوط به حوزه های مالی را هدف قرار داده اند تا واقعا مطمئن شوند کسی که دستگاه ش آلوده شده از بسترهای مالی استفاده می کند.


در این حملات از کلمات کلیدی مالی استفاده می‌شود که خاص هندوستان و خاورمیانه است. محققان سیسکو صدها نمونه از این وب‌سایت‌های جعلی را شناسایی کرده‌اند که کاربران را به سمت بار داده‌ی مخرب هدایت می‌کنند و فرآیند آلوده کردن دستگاه قربانی، در آن‌ها چند مرحله‌ای است. در وب‌سایت‌های مخرب از جاوا اسکریپت برای هدایت کاربران به وب‌سایت‌های میانی حاوی کدهای مخرب استفاده می‌شود. این هدایت با ارسال درخواست HTTP GET صورت می‌پذیرد. وقتی پاسخ این درخواست از سمت سرور دریافت شد، قربانی به وب‌سایتی هدایت می‌شود که یک فایل آلوده‌ی مایکروسافت ورد بر روی آن میزبانی می‌شود.


در این وب‌سایت اعلانی به کاربر نمایش داده می‌شود تا فایل ورد را دانلود کرده و ماکروهای مخرب آن را اجرا کند. ماکروها بسیار پایه‌ای هستند ولی به شکل پیچیده‌ای مبهم‌سازی شده‌اند. این ماکروها طوری طراحی شده‌اند که پس از اجرا، یک فایل اجرایی PE32 را دانلود کرده و دستگاه را آلوده می‌کنند. بار داده‌ای که بر روی سیستم قربانی دریافت می‌شود نسخه‌ای جدید از تروجان بانکی پاندا زئوس است که می‌تواند اطلاعات کارت‌های بانکی و دیگر داده‌های حساس قربانی را به سرقت ببرد. 


بار داده‌ای که در این حمله مورد استفاده قرار می‌گیرد، دارای فرآیندی چند مرحله‌ای است. ویژگی‌هایی در این بدافزار ارائه شده که آن را ضدتحلیل کرده و بدافزار از دید راه کارهای امنیتی مخفی باقی می‌ماند و در محیط‌های تحلیلی همچون ماشین مجازی و یا جعبه شنی اجرا نمی‌شود. این بدافزار ابتدا تلاش می کند تا زبان سیستمی که آلوده کرده را تشخیص دهد و اگر تشخیص دهد که زبان سیستم  بلاروس، کازاک و یا اوکراین است، به فرآیند آلودگی خاتمه می‌دهد. 

 

منبع
 

پست‌های مشابه

Leave a Comment

19 − سیزده =