Zeus Sphinx Banking Trojan er kommet tilbage fra de døde lige i tide til pandemien

Zeus Sphinx er officielt tilbage. Også kendt som Terdot, fik banktrojan berygtet for et par år siden, da dens operatører brugte smarte distributionsmetoder for at sprede malware rundt og stjæle folks adgangskoder. Dengang forklarede sikkerhedsforskere, hvordan malware-operatørerne ud over at filtrere login-data til finansielle institutioner forsøgte at kapre ofrenes konti på sociale medier og bruge dem som et formeringsmiddel. På et tidspunkt stoppede de pludselig med at distribuere det. Nu har de vendt tilbage til det, og når du ser, hvordan det fungerer, bliver du måske tilbage og spekulerer på, hvorfor de forladte det i første omgang.

Zeus Sphinx havde ikke brug for en større opdatering

Den nye bølge af Zeus Sphinx-infektioner blev opdaget af forskere fra IBM. De første tegn på et comeback blev vist tilbage i december, men i marts steg antallet af ofre markant. IBMs eksperter dissekerede en af de opfangede prøver og bemærkede, at der ikke var nogen virkelig store opdateringer til den måde, malware fungerer på.

Den aktuelle kampagne er afhængig af ondsindede Microsoft Office-dokumenter, der fungerer som downloadere til nyttelasten. Filen snøres med makroinstruktioner, som opretter en ny mappe på pc'ens systemdrev og slipper en batchfil i den. Der oprettes en ny VBS-fil, der bruger WScript.exe-processen til at oprette en forbindelse til Command & Control (C&C) -serveren og downloade nyttelasten i form af en DLL. Når de er implementeret tilføjer Zeus Sphinx en ny registernøgle til at etablere vedholdenhed og sætter ind på at stjæle folks økonomiske data.

Som navnet antyder er Zeus Sphinx baseret på Zeus - en af de mest berygtede malware-familier af denne type. Trojanen stjæler brugernavne og adgangskoder ved hjælp af webinjektioner. Hver gang den registrerer, at brugeren besøger deres banks websted, indsprøjter Zeus Sphinx kode og sender eventuelle loginoplysninger og tofaktorautentiseringskoder til skurkerne. Det værste ved denne teknik er, at brugeren ikke har nogen måde at vide, at noget er galt. Men hvor sandsynligt er det at de inficerer deres systemer med Zeus Sphinx i første omgang?

Zeus Sphinx bruger COVID-19-pandemien for at komme til flere mennesker

Som du sikkert allerede ved, har cyberkriminelle i de sidste par måneder anvendt forskellige socialtekniske teknikker til at udnytte frygt omkring den aktuelle coronavirus-pandemi, og de mennesker, der distribuerer Zeus Sphinx, har besluttet at tage en lignende tilgang.

De ondsindede Office-dokumenter ankommer på bagsiden af e-mails med emner, der lyder "COVID-19 Payment", og i det eksempel, IBM viste os, siger meddelelsen, at Justin Trudeau, Canadas premierminister, har godkendt en $ 2.500-pris til hver eneste en af hans kolleger i Canada, der har besluttet at blive hjemme under coronavirus-pandemien. For at gøre krav på det skal brugeren åbne det vedhæftede dokument og udfylde det.

Det burde virkelig ikke være en overraskelse, at operatører af Zeus Sphinx, som så mange andre cyberkriminelle bander, forsøger at banke panikken omkring COVID-19. Det, der dog er lidt chokerende, er, at der stadig er mennesker, der muligvis falder for netop denne fidus.

Selv hvis du er overbevist om, at du kan undgå denne ordning, er der masser af andre, der er meget mere troværdige. Sørg for at tage alt, hvad du finder i din indbakke, med en knivspids salt, især hvis det blev sendt af en, du ikke kender.