Zeus Sphinx Banking Trojan er kommet tilbake fra de døde akkurat i tide for pandemien

Zeus Sphinx er offisielt tilbake. Også kjent som Terdot, fikk banktrojaneren beryktelse for noen år siden da operatørene brukte smarte distribusjonsmetoder for å spre skadelig programvare rundt og stjele folks passord. Da forklarte sikkerhetsforskere hvordan, i tillegg til å filtrere påloggingsdata for finansinstitusjoner, malware-operatørene prøvde å kapre ofrenes sosiale mediekontoer og bruke dem som et forplantningsmiddel. På et tidspunkt sluttet de plutselig å distribuere det. Nå har de vendt tilbake til det, og når du ser hvordan det fungerer, kan det hende du sitter igjen og lurer på hvorfor de forlot det i utgangspunktet.

Zeus Sphinx trengte ikke en større oppdatering

Den nye bølgen av Zeus Sphinx-infeksjoner ble oppdaget av forskere fra IBM. De første tegnene på et comeback ble vist helt tilbake i desember, men i mars økte antallet ofre betydelig. IBMs eksperter dissekerte en av de oppfangede prøvene og la merke til at det ikke var noen virkelig store oppdateringer til hvordan skadelig programvare fungerer.

Den nåværende kampanjen er avhengig av ondsinnede Microsoft Office-dokumenter som fungerer som nedlastere for nyttelasten. Filen er snøret med makroinstruksjoner, som oppretter en ny mappe på PC-ens systemstasjon og slipper en batchfil i den. Det opprettes en ny VBS-fil som bruker WScript.exe-prosessen for å etablere en forbindelse til Command & Control (C&C) -serveren og laste ned nyttelasten i form av en DLL. Når de er distribuert legger Zeus Sphinx til en ny registernøkkel for å etablere utholdenhet og angir å stjele folks økonomiske data.

Som navnet antyder, er Zeus Sphinx basert på Zeus - en av de mest beryktede malware-familiene av denne typen. Trojanen stjeler brukernavn og passord ved hjelp av nettinjeksjoner. Hver gang den oppdager at brukeren besøker bankens nettsted, injiserer Zeus Sphinx kode og sender innloggingsinformasjon og tofaktorautentiseringskoder til kjeltringene. Det verste med denne teknikken er at brukeren ikke har noen måte å vite at noe er galt. Men hvor sannsynlig er det at de smitter systemene deres med Zeus Sphinx i utgangspunktet?

Zeus Sphinx bruker COVID-19-pandemien for å komme til flere mennesker

Som du sikkert allerede vet, har nettkriminelle i løpet av de siste månedene brukt forskjellige sosialtekniske teknikker for å utnytte frykten rundt den gjeldende coronavirus-pandemien, og menneskene som distribuerer Zeus Sphinx har bestemt seg for å ta en lignende tilnærming.

De ondsinnede Office-dokumentene kommer på baksiden av e-postmeldinger med emner som leser "COVID-19 Payment", og i eksempelet som IBM viste oss sier meldingen at Justin Trudeau, Canadas statsminister, har godkjent en pris på 2500 dollar til hver eneste en av hans andre kanadiere som har bestemt seg for å være hjemme under coronavirus-pandemien. For å kreve det, må brukeren åpne det vedlagte dokumentet og fylle det ut.

Det burde egentlig ikke være en overraskelse at, som så mange andre nettkriminelle gjenger, operatørene av Zeus Sphinx prøver å ta sikte på panikken rundt COVID-19. Det som imidlertid er litt sjokkerende, er at det fremdeles er mennesker som kan falle for akkurat denne svindelen.

Selv om du er overbevist om at du kan unngå denne ordningen, er det mange andre som er mye mer troverdige. Forsikre deg om at du tar alt du finner i innboksen med en klype salt, spesielt hvis det ble sendt av noen du ikke kjenner.