اخیرا تروجان بانکی با نام پاندا زئوس مشاهده شده که از نتایج جستجوهای گوگل که مربوط به کلمات کلیدی بانک ها هستند و آلوده شده اند، استفاده می کند تا دستگاه های قربانیان را آلوده کند. در بخش هایی از این حمله، مهاجمان از ابزار بهینه سازی نتایج جستجو در گوگل استفاده می کنند تا محبوبیت لینک های مخرب خود را بالا ببرند. این مهاجمان بیشتر کلمات کلیدی مربوط به حوزه های مالی را هدف قرار داده اند تا واقعا مطمئن شوند کسی که دستگاه ش آلوده شده از بسترهای مالی استفاده می کند.
در این حملات از کلمات کلیدی مالی استفاده میشود که خاص هندوستان و خاورمیانه است. محققان سیسکو صدها نمونه از این وبسایتهای جعلی را شناسایی کردهاند که کاربران را به سمت بار دادهی مخرب هدایت میکنند و فرآیند آلوده کردن دستگاه قربانی، در آنها چند مرحلهای است. در وبسایتهای مخرب از جاوا اسکریپت برای هدایت کاربران به وبسایتهای میانی حاوی کدهای مخرب استفاده میشود. این هدایت با ارسال درخواست HTTP GET صورت میپذیرد. وقتی پاسخ این درخواست از سمت سرور دریافت شد، قربانی به وبسایتی هدایت میشود که یک فایل آلودهی مایکروسافت ورد بر روی آن میزبانی میشود.
در این وبسایت اعلانی به کاربر نمایش داده میشود تا فایل ورد را دانلود کرده و ماکروهای مخرب آن را اجرا کند. ماکروها بسیار پایهای هستند ولی به شکل پیچیدهای مبهمسازی شدهاند. این ماکروها طوری طراحی شدهاند که پس از اجرا، یک فایل اجرایی PE32 را دانلود کرده و دستگاه را آلوده میکنند. بار دادهای که بر روی سیستم قربانی دریافت میشود نسخهای جدید از تروجان بانکی پاندا زئوس است که میتواند اطلاعات کارتهای بانکی و دیگر دادههای حساس قربانی را به سرقت ببرد.
بار دادهای که در این حمله مورد استفاده قرار میگیرد، دارای فرآیندی چند مرحلهای است. ویژگیهایی در این بدافزار ارائه شده که آن را ضدتحلیل کرده و بدافزار از دید راه کارهای امنیتی مخفی باقی میماند و در محیطهای تحلیلی همچون ماشین مجازی و یا جعبه شنی اجرا نمیشود. این بدافزار ابتدا تلاش می کند تا زبان سیستمی که آلوده کرده را تشخیص دهد و اگر تشخیص دهد که زبان سیستم بلاروس، کازاک و یا اوکراین است، به فرآیند آلودگی خاتمه میدهد.
