Исследователи из Cisco обнаружили, что в арсенале распространителей банковского троянца ZeuS Panda появились новые способы «черной» оптимизации Google-поиска.

Наблюдаемые ими попытки подмены поисковой выдачи делают ставку в основном на поиск по ключевым словам, связанным с финансовой сферой. Целью манипуляций в данном случае является привлечение потенциальных жертв на сайты с вредоносным документом Word.

«Общая конфигурация и работа инфраструктуры, используемой для распространения этой вредоносной программы, заслуживают внимания, так как используемые злоумышленниками методы распространения отличаются от типовых схем, регулярно наблюдаемых исследователями из Talos», — пишут соавторы блог-записи Эдмунд Брумагин (Edmund Brumaghin), Эрл Картер (Earl Carter) и Эммануэль Ташо (Tacheau).

Как оказалось, авторы атаки взламывают серверы, размещающие сайты с высоким рейтингом в поисковой системе Google. Эти сайты изобилуют финансовой терминологией и неизменно оказываются в топе поисковой выдачи при осуществлении поиска по ключевым словам. Иногда распространители Zeus Panda прибегают к другому способу — вносят нужные ключевые слова в уже существующие страницы, с тем чтобы повысить их позиции в результатах поиска.

Так, например, пробный поиск al rajhi bank working hours in Ramadan («часы работы банка Al Rajhi во время Рамадана») вернул скомпрометированный сайт бизнес-тематики, имеющий высокий рейтинг и массу положительных отзывов. Согласно Cisco, используемые на нем ключевые слова имеют отношение к финансовым институтам Индии и Ближнего Востока.

Zeus-Panda-Search

«Отравление поисковых систем применяется давно и проявляется по-разному — например, в виде фишинга, — комментирует Брумагин для Threatpost. — Однако использование его как части схемы распространения вредоносного ПО встречается реже».

В данном случае скомпрометированные сайты вовлечены в многоступенчатый процесс заражения посетителей. Иногда они направляют потенциальную жертву на страницу с фальшивым антивирусом или сканером ложной службы техподдержки, обнаруживающим троянца ZeuS.

«При заходе жертвы на вредоносную страницу на взломанном сайте отрабатывает JavaScript, перенаправляющий клиентскую программу на JavaScript, размещенный на промежуточном сайте, — пишут исследователи. — В результате клиент запускает на исполнение JavaScript, расположенный по адресу, определенному методом document.write(). Следующая страница содержит схожий функционал, который на этот раз провоцирует запрос HTTP GET».

Этот GET возвращает редирект HTTP 302 на сайт с вредоносным документом Word. «В результате клиент, следуя перенаправлению, загружает вредоносный документ, — поясняют исследователи. — Эта техника, известная как 302 cushioning, широко применяется эксплойт-паками».

После этого пользователю выводится подсказка — открыть или сохранить документ. При открытии вредоносного файла пользователя просят включить режим редактирования (Enable Editing) и нажать кнопку Enable Content («Включить содержимое»). Если тот последует инструкциям, на его машину загрузится целевой зловред.

По словам Брумагина, разновидность ZeuS, именуемая Panda, отлична от других уникальным механизмом упаковки, который обеспечивает несколько слоев обфускации и сильно затрудняет анализ кода. Во избежание обнаружения данный банкер также использует другие техники — например, «на начальном этапе вредоносная нагрузка способна производить сотни валидных API-вызовов, но все — с недействительными параметрами. Фальшивые вызовы призваны ввести в заблуждение исследователей и повысить трудоемкость анализа вредоносного кода».

Брумагин также отметил, что с ростом осведомленности о фишинге и заражениях через email-рассылки пользователи стали чаще проявлять осмотрительность, получая вложенные файлы. «В результате злоумышленникам пришлось искать другие способы подачи своих файлов — к примеру, через поисковую выдачу, которой потенциальные жертвы склонны больше доверять», — пояснил эксперт.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры