中毒谷歌搜索结果导致银行特洛伊木马

  • 时间:
  • 浏览:27
  • 来源:it300
中毒谷歌搜索结果导致银行特洛伊木马 最近观察到的Zeus Panda银行特洛伊木马攻击使用毒性谷歌搜索结果来搜索特定的银行相关关键词来感染用户,思科Talos研究人员警告说。

作为此次攻击的一部分,Zeus Panda背后的演员使用搜索引擎优化(SEO)使他们的恶意链接在搜索结果中更加普遍。通过针对与财务相关的关键字搜索,该角色试图通过确保受感染用户定期使用金融平台来提高攻击效率。

“通过利用受感染的Web服务器,攻击者能够确保他们的恶意结果将在搜索引擎中排名很高,从而增加潜在受害者点击它们的可能性,“思科透露。

[12]研究人员发现,在一个特定的案例中,演员的中毒结果在目标关键词的搜索引擎结果页面(SERP)的第1页上多次显示。该攻击主要针对印度和中东金融机构特有的关键词组。

思科能够识别数百个将受害者重定向到恶意有效载荷的恶意网页,并表示感染过程包括多个阶段。此外,研究人员观察到相同的重定向系统和相关的基础设施被用于技术支持和伪造的AV诈骗,试图诱使受害者相信他们已经感染了Zeus。

恶意网页使用JavaScript将用户重定向到一个中间站点,其中有更多JavaScr执行ipt,这会导致对另一个页面的HTTP GET请求。在服务器的响应之后,受害者被发送到托管恶意Word文档的另一个受感染的站点。

提示受害者下载文档,其中包括用户被诱使运行的恶意宏。恶意宏代码是基本的,但是模糊不清。它被设计用于下载和执行导致系统被感染的PE32可执行文件。

有效载荷是Zeus Panda银行木马的新版本,可以窃取用户的财务凭证和其他敏感数据。此攻击中使用的有效负载是多阶段的,具有各种反分析和规避技术,可确保恶意软件无法在自动分析环境或沙箱中正确执行。

威胁首先查询系统的键盘映射以确定系统语言,并在检测到俄语,白俄罗斯语,哈萨克语或乌克兰语键盘布局时自行终止。它还会检查它是否在一系列沙盒环境中运行,包括VMware,VirtualPC,VirtualBox,Parallels,Sandboxie,Wine和SoftIce。接下来,它会检查通常用于分析目的的工具和实用程序。

“为了阻碍分析,恶意有效负载的初始阶段包含数百个使用无效参数调用的有效API调用。它还利用结构化异常处理(SEH)来修补自己的代码。它会多次查询并存储当前光标位置以检测活动,并确定它是在沙箱还是自动中执行配合分析环境,“思科透露。

恶意软件也执行各种其他操作,试图使分析更加困难。例如,它们创建了数百个案例比较,从而阻碍了代码跟踪。研究人员还注意到使用大量异常调用导致沙箱崩溃,从而阻止了自动分析。

“攻击者不断试图找到新的方法来诱使用户运行可用于的恶意软件用各种有效载荷感染受害者的计算机。 Talos发现了一个整个框架,该框架使用“SERP中毒”来针对毫无戒心的用户并分发Zeus Panda银行木马。在这种情况下,攻击者正在进行特定的关键字搜索并确保他们的恶意搜索搜索引擎返回的结果中显示了很高的结果,“思科指出。

相关:一些想法永远不会消亡;特洛伊木马再次轮回

相关:PowerShell滥用银行特洛伊木马去巴西

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01