Аналитики компании Cisco Talos обнаружили необычную вредоносную кампанию, направленную на распространение банковского трояна Zeus Panda. Вместо уже привычного спама и вредоносной рекламы в данном случае злоумышленники используют приемы SEO оптимизации.

Как выяснили специалисты, основной канал распространения Zeus Panda – это широкая сеть взломанных сайтов, на которых злоумышленники размещают дополнительные, скрытые страницы, содержащие тщательно отобранные ключевые слова. Также такие «ключи» внедряются и в состав уже существующих страниц. В итоге преступникам удается ввести в заблуждение Google SERP (Search Engine Results Pages), то есть вредоносные сайты оказываются наверху поисковой выдачи по ключевым словам, связанным с личными финансами и банковским обслуживанием.

Вредоносный сайт в поисковой выдаче

Когда пользователи, попадают на такие сайты из поисковика, на фоне срабатывает вредоносный JavaScript, который перееадресует жертв через несколько других ресурсов, а в конце их ждет зараженный документ Word. Подобные цепочки переадресаций, как правило, более характерны для атак с использованием вредоносной рекламы, когда пользователя проводят через ряд URL, от сайта с рекламой до эксплоит-кита, фальшивого обновления ПО или иного скама. Исследователи пишут, что группировка, стоящая за распространением Zeus Panda, совместила две эти техники воедино и сочетает цепочки прееадресаций с классическими приемами SEO-ботнетов (когда одни взломанные сайты, поднимают рейтинг других взломанных сайтов).

«В целом конфигурация и управление инфраструктурой, использующейся для распространения малвари, оказались интересной и не похожей на то, что Cisco Talos наблюдает обычно. Это еще один яркий пример того, что атакующие постоянно меняют и совершенствуют свои техники», — резюмируют специалисты.

Стоит отметить, что сам троян Zeus Panda ранее уже попадал в поле зрения ИБ-экспертов. К примеру, еще минувшим летом специалисты G Data опубликовали детальный анализ самой малвари и вредоносных документов, при помощи которых она распространяется.



2 комментария

  1. Il

    05.11.2017 at 20:04

    Очень логично, но опять же пользователь должен сам нажать и запустить.

    • john_

      16.11.2017 at 14:14

      У гугла много проблем. В т ч странная возможность редактирования на Гкартах, где можно представиться владельцем бизнеса и менять что хочешь

Оставить мнение