Xakep #305. Многошаговые SQL-инъекции
Аналитики компании Cisco Talos обнаружили необычную вредоносную кампанию, направленную на распространение банковского трояна Zeus Panda. Вместо уже привычного спама и вредоносной рекламы в данном случае злоумышленники используют приемы SEO оптимизации.
Как выяснили специалисты, основной канал распространения Zeus Panda – это широкая сеть взломанных сайтов, на которых злоумышленники размещают дополнительные, скрытые страницы, содержащие тщательно отобранные ключевые слова. Также такие «ключи» внедряются и в состав уже существующих страниц. В итоге преступникам удается ввести в заблуждение Google SERP (Search Engine Results Pages), то есть вредоносные сайты оказываются наверху поисковой выдачи по ключевым словам, связанным с личными финансами и банковским обслуживанием.
Когда пользователи, попадают на такие сайты из поисковика, на фоне срабатывает вредоносный JavaScript, который перееадресует жертв через несколько других ресурсов, а в конце их ждет зараженный документ Word. Подобные цепочки переадресаций, как правило, более характерны для атак с использованием вредоносной рекламы, когда пользователя проводят через ряд URL, от сайта с рекламой до эксплоит-кита, фальшивого обновления ПО или иного скама. Исследователи пишут, что группировка, стоящая за распространением Zeus Panda, совместила две эти техники воедино и сочетает цепочки прееадресаций с классическими приемами SEO-ботнетов (когда одни взломанные сайты, поднимают рейтинг других взломанных сайтов).
«В целом конфигурация и управление инфраструктурой, использующейся для распространения малвари, оказались интересной и не похожей на то, что Cisco Talos наблюдает обычно. Это еще один яркий пример того, что атакующие постоянно меняют и совершенствуют свои техники», — резюмируют специалисты.
Стоит отметить, что сам троян Zeus Panda ранее уже попадал в поле зрения ИБ-экспертов. К примеру, еще минувшим летом специалисты G Data опубликовали детальный анализ самой малвари и вредоносных документов, при помощи которых она распространяется.