Noll
En grupp angripare är att använda en kombination av Google-search-engine optimization (SEO) för banking-relaterade sökord, äventyras webbplatser och skadliga Word-makron för att infektera användarna med Zeus Panda bank referens stealer.
Angriparna har använt SEO förgiftning i det förflutna för att sprida skadlig kod, men denna grupp är att använda tekniken på ett särskilt listiga sätt att se till skadliga länkar ses av människor som regelbundet använder en specifik bank, i huvudsak profilering offer innan infektionen.
Forskare vid Ciscos Talos säkerhetsgrupp upptäckte kampanjen och har belyst sökningar med nyckelord är målinriktad.
De termer som tyder på att de är inriktad på kunder i Nordea Sverige, State Bank of India, Indien ‘ s Bank of Barodia och Axis Bank, Commonwealth Bank of Australia, och Saudi-Arabia Al Rajhi Bank. De är också inriktade på användare som söker efter information om SWIFT-bank-nätverket.
Framför allt, när ett system är infekterad av skadlig programvara kommer inte att aktiveras om den upptäcker ett tangentbord kartläggning är ryska, Vitryska, Kazak, och ukrainska. Hackare ofta undvika att rikta användare från den jurisdiktion där de är verksamma för att undvika att locka till sig uppmärksamhet från den lokala polisen.
Angriparna första äventyras en rad äkta webbplatser företag, och då är optimerad för dem att visas på toppen av organiska sökresultat på Google för vissa sökord.
Enligt Cisco angriparna kunde få sina förgiftade resultat visas flera gånger på sidan ett av Google ‘ s Search Engine Results Page.
De sökord som ingår:
“nordea sverige bankkontonummer””al rajhi bank arbetstid under ramadan”:”hur många siffror i karur vysya bankkontonummer””gratis online böcker för banktjänsteman examen”,”hur man avbryta en check commonwealth bank””lönen slip-format i excel med formel free download””bank of baroda saldo kontrollera””bankgaranti format mt760″”gratis online böcker för banktjänsteman exam””sbi bank återkommande insättning form””axis bank mobila banktjänster hämta länk”
Om ett offer besöker infekterade webbplats, sidan använder JavaScript för att utlösa en serie av omdirigeringar som så småningom hämtar en skadlig Word-dokument.
Här anfallare förlita sig på social ingenjörskonst för att lura användaren att aktivera makro-kod för att köra. Makron är inaktiverade som standard och Microsoft rekommenderar den är kvar på det sättet, i synnerhet för dokument från opålitliga källor, till exempel internet.
När Word-dokumentet öppnas, visas meddelandet: “för Att se detta innehåll, vänligen klicka på “Aktivera Redigering” från det gula fältet och sedan klicka på “Aktivera Innehåll”.
Denna instruktion avser troligen den gula säkerhet varning Office visas när den upptäcker en fil med makron i det. Varningen staterna att “Makron har inaktiverats” bredvid “Aktivera Innehåll” – knappen.
Om användaren inte gör det möjligt att skadlig makro kommer att ladda hem ett skadligt program som infekterar systemet med Zeus Panda.
Microsoft rekommenderar att du inte aktivera makron i Word, i synnerhet för dokument från opålitliga källor.
Bild: Talos, Cisco
Tidigare och relaterade täckning
DET ledande guide till hotet om fileless malware [Tech Pro Forskning]
Detta ebook ser på vad det är, hur det kan påverka din organisation och hur du kan skydda mot infektioner, minska exponering, och förhindra att skadan från att sprida sig till andra nätverksanslutna system.
CoreBot bank trojan malware tillbaka efter två års uppehåll
Skadliga program som stjäl inloggningsuppgifter av online-banking-kunder av TD, Des Jardins, RBC, Scotia Bank, och Banque National i Kanada.
Denna Android bank malware stjäl data genom att utnyttja smartphone tillgänglighet tjänster
Den beryktade Svpeng skadlig kod tar fördel av en Android-funktion utformad för att hjälpa människor med funktionshinder att använda sin telefon.
Relaterade Ämnen:
CXO
Säkerhet-TV
Hantering Av Data
Datacenter
0