Trojan bankowy Zeus Sphinx powrócił z martwych w samą porę na pandemię

Zeus Sphinx oficjalnie powrócił. Trojan bankowy znany również jako Terdot zyskał niesławę kilka lat temu, gdy jego operatorzy zastosowali sprytne metody dystrybucji do rozprzestrzeniania szkodliwego oprogramowania i kradzieży haseł użytkowników. W tym czasie analitycy bezpieczeństwa wyjaśnili, w jaki sposób operatorzy złośliwego oprogramowania oprócz eksfiltrowania danych logowania do instytucji finansowych próbowali przejąć konta mediów społecznościowych ofiar i wykorzystać je jako narzędzie propagacji. W pewnym momencie jednak nagle przestali go rozpowszechniać. Teraz wrócili do niego, a kiedy zobaczysz, jak to działa, możesz zastanawiać się, dlaczego w ogóle go porzucili.

Zeus Sphinx nie potrzebował ważnej aktualizacji

Nowa fala infekcji Zeus Sphinx została zauważona przez naukowców z IBM. Pierwsze oznaki powrotu pojawiły się już w grudniu, ale w marcu liczba ofiar znacznie wzrosła. Eksperci IBM przeanalizowali jedną z przechwyconych próbek i zauważyli, że nie było żadnych naprawdę poważnych aktualizacji w funkcjonowaniu złośliwego oprogramowania.

Obecna kampania opiera się na złośliwych dokumentach Microsoft Office, które służą jako programy pobierające ładunek. Plik zawiera instrukcje makr, które tworzą nowy folder na dysku systemowym komputera i upuszczają w nim plik wsadowy. Tworzony jest nowy plik VBS, który korzysta z procesu WScript.exe w celu nawiązania połączenia z serwerem Command & Control (C&C) i pobrania ładunku w postaci biblioteki DLL. Po wdrożeniu Zeus Sphinx dodaje nowy klucz rejestru, aby ustalić trwałość i zabiera się do kradzieży danych finansowych ludzi.

Jak sama nazwa wskazuje, Zeus Sphinx opiera się na Zeusie - jednej z najbardziej niesławnych rodzin złośliwego oprogramowania tego typu. Trojan kradnie nazwy użytkowników i hasła za pomocą wstrzyknięć internetowych. Ilekroć wykryje, że użytkownik odwiedza witrynę banku, Zeus Sphinx wstrzykuje kod i wysyła wszelkie dane uwierzytelniające oraz kody uwierzytelniające dwuskładnikowe do oszustów. Najgorsze w tej technice jest to, że użytkownik nie może wiedzieć, że coś jest nie tak. Ale na ile prawdopodobne jest, że zarażą swoje systemy Zeus Sphinx?

Zeus Sphinx używa pandemii COVID-19, aby dotrzeć do większej liczby osób

Jak zapewne już wiesz, w ciągu ostatnich kilku miesięcy cyberprzestępcy stosowali różne techniki inżynierii społecznej, aby wykorzystać strach związany z obecną pandemią koronawirusa, a ludzie dystrybuujący Zeusa Sphinx zdecydowali się na podobne podejście.

Złośliwe dokumenty Office przychodzą z tyłu wiadomości e-mail z tematami o treści „COVID-19 Payment”, aw przykładzie, który pokazał nam IBM, komunikat mówi, że Justin Trudeau, premier Kanady, zatwierdził nagrodę w wysokości 2 500 USD dla każdego innych Kanadyjczyków, którzy postanowili zostać w domu podczas pandemii koronawirusa. Aby zgłosić roszczenie, użytkownik musi otworzyć załączony dokument i wypełnić go.

Nie powinno być zaskoczeniem, że podobnie jak wiele innych gangów cyberprzestępczych, operatorzy Zeusa Sphinxa próbują oprzeć się panice wokół COVID-19. Jednak nieco szokujące jest to, że wciąż są ludzie, którzy mogą zakochać się w tym konkretnym oszustwie.

Nawet jeśli jesteś przekonany, że możesz uniknąć tego schematu, istnieje wiele innych, które są znacznie bardziej wiarygodne. Upewnij się, że weźmiesz wszystko, co znajdziesz w skrzynce odbiorczej, ze szczyptą soli, zwłaszcza jeśli zostało wysłane przez kogoś, kogo nie znasz.