Szerző Téma: Vírusos weboldalakra vezetett a Google  (Megtekintve 32 alkalommal)

Leírás: A Google keresőjével való trükközéssel érik el a Zeus Panda trójai terjesztői, hogy minél több számítógépet tudjanak megfertőzni a banki adatokat lopkodó szerzeményükkel.

0 Felhasználó és 1 vendég van a témában

Nem elérhető meteor1

  • Speed Drifter
  • Chuck "The Speed" Norris
  • *
  • Hozzászólások: 1227
  • Megköszönte: 8 Alkalommal
Vírusos weboldalakra vezetett a Google
« Dátum: 2017. November 24. - 14:44:53 »
A Google keresőjével való trükközéssel érik el a Zeus Panda trójai terjesztői, hogy minél több számítógépet tudjanak megfertőzni a banki adatokat lopkodó szerzeményükkel.
 
Kiberbűnözői körökben sem ismeretlen fogalom a keresőoptimalizálás. Az úgynevezett SEO-s (Search Engine Optimization) trükkök már régebben is jelen voltak a netes csalók körében. A módszerről pedig nem szoktak le, sőt manapság egyre gyakrabban használják azt vírusterjesztéshez is. A Cisco Talos kutatói egy ilyen alvilági akciót lepleztek le.
 
Ezúttal a Zeus Panda trójai terjesztői gondolták úgy, hogy segítségül hívják a Google keresőjét. A céljuk nem más, mint hogy bizonyos keresőkifejezések esetén a saját, kártékony weboldalaik jelenjenek meg a találati lista elején. Persze tudták azt, hogy ehhez szükségük van arra is, hogy a weboldalaikra minél több link mutasson. Ennek kivitelezése azonban nem okozott számukra nehézséget, mivel több száz feltört szervert és weboldalt vetettek be. Az akciójuk sajnos olyan jól sikerült, hogy egyes kifejezések esetén a találati lista első oldalán több weblapjuk is feltűnt.
 
Mivel a Zeus Panda már a kezdetek óta leginkább banki adatokra "harap", ezért nyilvánvalóan olyan keresőkifejezésekre hangolódtak a csalók, amelyek banki ügyfelek érdeklődését kelthetik fel.
Forrás: Cisco

Amennyiben a felhasználó beírta a fenti kifejezéseket a Google keresőjébe, akkor meglehetősen nagy eséllyel futhatott össze kártékony weboldalakra mutató linkekkel. A helyzet azonban nem volt ilyen egyszerű, ugyanis többlépcsős károkozásokról beszélhetünk.

Attól, hogy valami öt csillagos, még nem biztos, hogy jó - Forrás: Cisco

Először "csak" egy olyan oldal jelent meg a böngészőben, amely JavaScriptek segítségével további átirányításokat végzett, és ezt követően került fel a PC-re a trójai. Itt kell megemlíteni, hogy esetenként ekkor egyéb, általában technikai támogatásos csalások is felütötték a fejüket. Ilyenkor a felhasználó egy figyelmeztető üzenetet kapott, amelyben arra próbálták rávenni, hogy hívjon fel egy telefonszámot a (mondvacsinált) technikai problémák orvoslásához. Ezek a csalások is adatok kipuhatolását vagy a számítógépekhez való hozzáférés elősegítését szolgálták az elkövetők számára.
Forrás: Cisco

Így működik a trójai
 
Amikor a Zeus Panda elindul a kiszemelt rendszeren, akkor nekilát a bizalmas adatok kikémleléséhez, kiszivárogtatásához. A károkozó persze ezúttal is mindent elkövet annak érdekében, hogy nehéz legyen detektálni, illetve elemezni. Nem okoz károkat például akkor, ha azt észleli, hogy VMware, VirtualPC, VirtualBox, Parallels, Sandboxie, Wine vagy SoftIce alapú rendszeren fut. Trükközik Windows-os API-hívásokkal, és még azt is figyeli, hogy közbe-közbe mozog-e a kurzor. Ez utóbbival azt próbálja elérni, hogy automatizált vírusdetektáló rendszeren ne induljon el, és csak akkor fusson, ha a számítógép előtt ténylegesen felhasználó tevékenykedik.
 
Mint látható, a Zeus Panda a szóban forgó támadássorozat részeként elsősorban angol nyelvterületeken hódít, de ez nem jelenti azt, hogy például a magyar PC-ket megvetné. A Cisco szerint azokkal a számítógépekkel kivételez, amelyeken a területi beállítás (billentyűzetkiosztás) orosz, belorusz, kazak vagy ukrán nyelvű.
 
A kártevő ellen korszerű és naprakész víruskeresővel, valamint megfontolt internetezéssel lehet leginkább felvenni a küzdelmet.

Forrás:
Felhasználók akik megköszönték a hozzászólást: EasyRyder00