Zeus Sphinx Banking Trojan is net op tijd teruggekomen uit de dood voor de pandemie

Zeus Sphinx Comes Back in the middle of the COVID-19 Pandemic

Zeus Sphinx is officieel terug. Ook bekend als Terdot, kreeg de banktrojan een paar jaar geleden schande toen zijn operators slimme distributiemethoden gebruikten om de malware te verspreiden en de wachtwoorden van mensen te stelen. Beveiligingsonderzoekers legden toen uit hoe de malwareproviders, naast het exfiltreren van inloggegevens voor financiële instellingen, de sociale media-accounts van slachtoffers probeerden te kapen en ze als een propagatiemiddel te gebruiken. Op een gegeven moment stopten ze echter plotseling met het verspreiden ervan. Nu zijn ze er weer op teruggekeerd en als je ziet hoe het werkt, vraag je je misschien af waarom ze het überhaupt hebben opgegeven.

Zeus Sphinx had geen grote update nodig

De nieuwe golf van Zeus Sphinx-infecties werd opgemerkt door onderzoekers van IBM. De eerste tekenen van een comeback waren al in december, maar in maart nam het aantal slachtoffers aanzienlijk toe. De experts van IBM ontleedden een van de onderschepte voorbeelden en merkten op dat er geen echt grote updates waren voor de manier waarop de malware functioneert.

De huidige campagne is afhankelijk van schadelijke Microsoft Office-documenten die dienen als downloaders voor de payload. Het bestand is doorspekt met macro-instructies, die een nieuwe map op het systeemstation van de pc maken en daarin een batchbestand neerzetten. Er wordt een nieuw VBS-bestand gemaakt dat het WScript.exe-proces gebruikt om een verbinding tot stand te brengen met de Command & Control (C&C) -server en de payload te downloaden in de vorm van een DLL. Eenmaal geïmplementeerd, voegt Zeus Sphinx een nieuwe registersleutel toe om doorzettingsvermogen vast te stellen en begint met het stelen van de financiële gegevens van mensen.

Zoals de naam al doet vermoeden, is Zeus Sphinx gebaseerd op Zeus - een van de meest beruchte malwarefamilies van dit type. De trojan steelt gebruikersnamen en wachtwoorden met behulp van webinjecties. Telkens wanneer het detecteert dat de gebruiker de website van hun bank bezoekt, injecteert Zeus Sphinx code en stuurt alle inloggegevens en tweefactorauthenticatiecodes naar de boeven. Het ergste van deze techniek is dat de gebruiker niet kan weten dat er iets mis is. Maar hoe waarschijnlijk is het dat ze hun systemen in de eerste plaats met Zeus Sphinx infecteren?

Zeus Sphinx gebruikt de COVID-19-pandemie om meer mensen te bereiken

Zoals u waarschijnlijk al weet, hebben cybercriminelen de afgelopen maanden verschillende social engineering-technieken gebruikt om de angst rond de huidige coronaviruspandemie te misbruiken, en de mensen die Zeus Sphinx verspreiden, hebben besloten een vergelijkbare aanpak te volgen.

De kwaadaardige Office-documenten komen op de achterkant van e-mails met onderwerpen met de tekst "COVID-19 Payment", en in het voorbeeld dat IBM ons liet zien, zegt het bericht dat Justin Trudeau, de premier van Canada, een prijs van $ 2.500 voor iedereen heeft goedgekeurd van zijn mede-Canadezen die besloten hebben thuis te blijven tijdens de coronavirus pandemie. Om het te claimen, moet de gebruiker het bijgevoegde document openen en invullen.

Het mag geen verrassing zijn dat, zoals zoveel andere cybercriminele bendes, de operators van Zeus Sphinx proberen te rekenen op de paniek rond COVID-19. Wat echter een beetje schokkend is, is dat er nog steeds mensen zijn die mogelijk voor deze zwendel vallen.

Zelfs als u ervan overtuigd bent dat u deze regeling kunt vermijden, zijn er tal van andere die veel geloofwaardiger zijn. Zorg ervoor dat je alles wat je in je inbox vindt met een snufje zout meeneemt, vooral als het is verzonden door iemand die je niet kent.

March 31, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.