Результаты поиска Google (SEO) отравлены умными атакующими банки троянами

Преступники используют поиск Google для целевых клиентов банка с неприятным банковским трояном.

Группа злоумышленников использует комбинацию поисковой оптимизации Google (SEO) для ключевых слов, связанных с банковским сектором, скомпрометированных веб-сайтов и злонамеренных макросов Word, чтобы заразить пользователей средством похитителя банковских счетов Zeus Panda.

В прошлом злоумышленники использовали отравление SEO, чтобы распространять вредоносное ПО, но эта группа использует эту технику особенно хитрым образом, делается так что, люди пользуются  вредоносными ссылками, которые регулярно использует определенный банк, по существу осуществляется профилирование жертв перед инфекцией.

 Исследователи из группы безопасности Cisco Talos обнаружили кампанию и подчеркнули, что поисковые запросы по ключевым словам нацелены на клиентов Nordea Sweden, Государственного банка Индии, Банка Бародии в Индии и Axis Bank, Австралийского банка Содружества и Банка Аль-Рахи Саудовской Аравии. Они также нацелены на пользователей, которые ищут информацию о банковской сети SWIFT.

Примечательно, что когда система заражена, вредоносное ПО не активируется, если обнаруживает, что отображение клавиатуры - это русский, белорусский, казахский и украинский. Хакеры часто избегают привлечения пользователей из юрисдикции, в которой они действуют, чтобы не привлекать внимание со стороны местных правоохранительных органов.

Нападавшие сначала скомпрометировали ряд настоящих бизнес-сайтов, а затем оптимизировали их, чтобы они отображались в верхней части органических результатов поиска Google для определенных условий поиска.

По словам Cisco, злоумышленники смогли отобразить их отравленные результаты несколько раз на первой странице страницы результатов поиска Google.

Поисковые термины включали:

Если жертва посещает зараженный сайт, на странице используется JavaScript, чтобы инициировать серию перенаправлений, которые в конечном итоге загружают вредоносный документ Word.

Отсюда злоумышленники полагаются на социальную инженерию, чтобы обмануть пользователя, чтобы он запускал макрокоманду. Макросы по умолчанию отключены, и корпорация Майкрософт рекомендует сохранить ее таким образом, в частности, для документов из ненадежных источников, таких как Интернет.

Когда документ Word открыт, отображается сообщение: «Чтобы просмотреть этот контент, нажмите« Включить редактирование »с желтой полосы, а затем нажмите« Включить контент». Эта инструкция, вероятно, относится к желтому предупреждению о безопасности, которое отображается в Office, когда оно обнаруживает файл с макросами. В предупреждении указано, что «Макросы были отключены» рядом с кнопкой «Включить контент». Если пользователь включит его, вредоносный макрос загрузит исполняемый файл, который заразит систему с помощью Zeus Panda.

 



СОВИТ

Аналитика

Архив

Новости

Архив