O Trojan bancário Zeus Sphinx voltou dos mortos bem a tempo da pandemia

Zeus Sphinx está de volta oficialmente. Também conhecido como Terdot, o trojan bancário ganhou fama há alguns anos atrás, quando seus operadores usavam métodos inteligentes de distribuição para espalhar o malware e roubar as senhas das pessoas. Naquela época, os pesquisadores de segurança explicaram como, além de filtrar os dados de login das instituições financeiras, os operadores de malware tentavam sequestrar as contas de mídia social das vítimas e usá-las como veículo de propagação. Em um ponto, no entanto, eles de repente pararam de distribuí-lo. Agora, eles se voltaram para ele e, quando você vê como funciona, pode ficar se perguntando por que eles o abandonaram.

Zeus Sphinx não precisava de uma grande atualização

A nova onda de infecções por Zeus Sphinx foi identificada por pesquisadores da IBM. Os primeiros sinais de retorno foram mostrados em dezembro, mas em março, o número de vítimas aumentou significativamente. Os especialistas da IBM dissecaram uma das amostras interceptadas e notaram que não havia atualizações realmente importantes sobre o funcionamento do malware.

A campanha atual se baseia em documentos maliciosos do Microsoft Office que servem como downloaders da carga útil. O arquivo é atado com instruções de macro, que criam uma nova pasta na unidade do sistema do PC e soltam um arquivo em lotes. É criado um novo arquivo VBS que usa o processo WScript.exe para estabelecer uma conexão com o servidor Command & Control (C&C) e baixar a carga útil na forma de uma DLL. Uma vez implantado, o Zeus Sphinx adiciona uma nova chave de registro para estabelecer persistência e definir o roubo de dados financeiros das pessoas.

Como o nome sugere, o Zeus Sphinx é baseado no Zeus - uma das famílias de malware mais infames desse tipo. O cavalo de Troia rouba nomes de usuário e senhas com a ajuda de injeções na web. Sempre que detecta que o usuário está visitando o site do banco, o Zeus Sphinx injeta código e envia credenciais de login e códigos de autenticação de dois fatores aos criminosos. A pior coisa dessa técnica é que o usuário não tem como saber que algo está errado. Mas qual a probabilidade de eles infectarem seus sistemas com o Zeus Sphinx em primeiro lugar?

Zeus Sphinx usa a pandemia COVID-19 para chegar a mais pessoas

Como você provavelmente já sabe, nos últimos meses, os cibercriminosos têm usado várias técnicas de engenharia social para explorar o medo em torno da atual pandemia de coronavírus, e as pessoas que distribuem o Zeus Sphinx decidiram adotar uma abordagem semelhante.

Os documentos maliciosos do Office chegam no verso dos e-mails com assuntos como "Pagamento COVID-19" e, no exemplo que a IBM nos mostrou, a mensagem diz que Justin Trudeau, primeiro-ministro do Canadá, aprovou um prêmio de US $ 2.500 para todos. de seus colegas canadenses que decidiram ficar em casa durante a pandemia de coronavírus. Para reivindicá-lo, o usuário precisa abrir o documento anexado e preenchê-lo.

Realmente não deveria ser uma surpresa que, como tantas outras quadrilhas de criminosos cibernéticos, os operadores do Zeus Sphinx estejam tentando entrar em pânico com o pânico em torno do COVID-19. O que é um pouco chocante, no entanto, é que ainda existem pessoas que podem se apaixonar por esse golpe em particular.

Mesmo se você estiver convencido de que pode evitar esse esquema, há muitos outros que são muito mais confiáveis. Certifique-se de levar tudo o que encontrar em sua caixa de entrada com uma pitada de sal, especialmente se tiver sido enviado por alguém que você não conhece.