Банковский троян Зевса Сфинкса вернулся из мертвых как раз к пандемии

Зевс Сфинкс официально вернулся. Банковский троянец, также известный как Terdot, несколько лет назад приобрел дурную славу, когда его операторы использовали умные методы распространения для распространения вредоносного ПО и кражи паролей людей. Тогда исследователи в области безопасности объяснили, как, помимо извлечения учетных данных для финансовых учреждений, операторы вредоносных программ пытались похитить учетные записи жертв в социальных сетях и использовать их в качестве средства распространения информации. Однако в один прекрасный момент они внезапно прекратили распространять его. Теперь они вернулись к этому, и когда вы увидите, как это работает, вас может удивить, почему они вообще отказались от этого.

Зевс Сфинкс не нуждался в серьезном обновлении

Исследователи из IBM обнаружили новую волну заражения Зевсом Сфинксом. Первые признаки возвращения были обнаружены еще в декабре, но в марте число жертв значительно возросло. Эксперты IBM проанализировали один из перехваченных образцов и заметили, что по-настоящему серьезных обновлений в функционировании вредоносного ПО не было.

Текущая кампания опирается на вредоносные документы Microsoft Office, которые служат загрузчиками для полезной нагрузки. Файл содержит макрокоманды, которые создают новую папку на системном диске ПК и помещают в нее пакетный файл. Создается новый файл VBS, который использует процесс WScript.exe для установления соединения с сервером командования и управления (C&C) и загрузки полезной нагрузки в форме DLL. После развертывания Zeus Sphinx добавляет новый раздел реестра, чтобы установить постоянство и приступить к краже финансовых данных людей.

Как следует из названия, Zeus Sphinx основан на Zeus - одном из самых печально известных семейств вредоносных программ этого типа. Троянец ворует имена пользователей и пароли с помощью веб-инъекций. Всякий раз, когда он обнаруживает, что пользователь посещает веб-сайт своего банка, Zeus Sphinx вводит код и отправляет любые учетные данные для входа и коды двухфакторной аутентификации мошенникам. Хуже всего в этой технике то, что у пользователя нет возможности узнать, что что-то не так. Но с какой вероятностью они могут заразить свои системы Зевсом Сфинксом?

Зевс Сфинкс использует пандемию COVID-19, чтобы привлечь больше людей

Как вы, наверное, уже знаете, за последние несколько месяцев киберпреступники использовали различные методы социальной инженерии, чтобы использовать страх, окружающий нынешнюю пандемию коронавируса, и люди, распространяющие зевсового сфинкса, решили использовать аналогичный подход.

Вредоносные документы Office поступают на обороте писем с темами, которые читают «Платеж COVID-19», и в примере, который нам показал IBM, в сообщении говорится, что Джастин Трюдо, премьер-министр Канады, утвердил премию в размере 2500 долларов США каждому его поддерживающих канадцев, которые решили остаться дома во время пандемии коронавируса. Для этого пользователю необходимо открыть прикрепленный документ и заполнить его.

Не должно быть сюрпризом, что, как и многие другие киберпреступные банды, операторы Zeus Sphinx пытаются рассчитывать на панику вокруг COVID-19. Что немного шокирует, тем не менее, это то, что все еще есть люди, которые могут влюбиться в эту конкретную аферу.

Даже если вы убеждены, что можете избежать этой схемы, существует множество других, которые гораздо более правдоподобны. Убедитесь, что вы берете все, что найдете в своем почтовом ящике, с щепоткой соли, особенно если оно было отправлено кем-то, кого вы не знаете.