Zeus Sphinx Banking Trojan è tornato dai morti giusto in tempo per la pandemia

Zeus Sphinx è ufficialmente tornato. Conosciuto anche come Terdot, il trojan bancario ha acquisito infamia alcuni anni fa quando i suoi operatori hanno utilizzato metodi di distribuzione intelligenti per diffondere il malware e rubare le password delle persone. All'epoca, i ricercatori della sicurezza hanno spiegato come, oltre a esfiltrare i dati di accesso per le istituzioni finanziarie, gli operatori di malware stavano cercando di dirottare gli account dei social media delle vittime e di usarli come veicolo di propagazione. Ad un certo punto, tuttavia, hanno improvvisamente smesso di distribuirlo. Ora, sono tornati su di esso, e quando vedi come funziona, potresti essere lasciato a chiederti perché l'hanno abbandonato in primo luogo.

Zeus Sphinx non aveva bisogno di un aggiornamento importante

La nuova ondata di infezioni della Sfinge Zeus è stata individuata dai ricercatori di IBM. I primi segni di un ritorno sono stati mostrati a dicembre, ma a marzo il numero di vittime è aumentato in modo significativo. Gli esperti di IBM hanno analizzato uno dei campioni intercettati e hanno notato che non c'erano aggiornamenti davvero importanti sul funzionamento del malware.

L'attuale campagna si basa su documenti Microsoft Office dannosi che fungono da downloader per il payload. Il file è corredato di istruzioni macro, che creano una nuova cartella sull'unità di sistema del PC e rilasciano un file batch al suo interno. Viene creato un nuovo file VBS che utilizza il processo WScript.exe per stabilire una connessione al server Command & Control (C&C) e scaricare il payload sotto forma di DLL. Una volta distribuito, Zeus Sphinx aggiunge una nuova chiave di registro per stabilire la persistenza e inizia a rubare i dati finanziari delle persone.

Come suggerisce il nome, Zeus Sphinx si basa su Zeus, una delle famiglie di malware più famigerate di questo tipo. Il trojan ruba nomi utente e password con l'aiuto di iniezioni web. Ogni volta che rileva che l'utente sta visitando il sito Web della propria banca, Zeus Sphinx inietta codice e invia credenziali di accesso e codici di autenticazione a due fattori ai criminali. La cosa peggiore di questa tecnica è che l'utente non ha modo di sapere che qualcosa non va. Ma quanto è probabile che possano infettare i loro sistemi con Zeus Sphinx?

Zeus Sphinx utilizza la pandemia COVID-19 per raggiungere più persone

Come probabilmente già saprai, negli ultimi mesi i criminali informatici hanno utilizzato varie tecniche di ingegneria sociale per sfruttare la paura che circonda l'attuale pandemia di coronavirus e le persone che distribuiscono Zeus Sphinx hanno deciso di adottare un approccio simile.

I documenti dannosi di Office arrivano sul retro delle e-mail con argomenti che recitano "Pagamento COVID-19" e nell'esempio che IBM ci ha mostrato, il messaggio afferma che Justin Trudeau, primo ministro canadese, ha approvato un premio di $ 2.500 per ognuno dei suoi compagni canadesi che hanno deciso di rimanere a casa durante la pandemia di coronavirus. Per richiederlo, l'utente deve aprire il documento allegato e compilarlo.

Non dovrebbe davvero essere una sorpresa che, come tante altre bande criminali informatiche, gli operatori di Zeus Sphinx stiano cercando di ribellarsi al panico che circonda COVID-19. Ciò che è un po 'scioccante, tuttavia, è che ci sono ancora persone che potrebbero innamorarsi di questa particolare truffa.

Anche se sei convinto di poter evitare questo schema, ce ne sono molti altri che sono molto più credibili. Assicurati di prendere tutto ciò che trovi nella posta in arrivo con un pizzico di sale, soprattutto se è stato inviato da qualcuno che non conosci.