Zeus Sphinx Banking Trojan har kommit tillbaka från de döda precis i tid för pandemin

Zeus Sphinx är officiellt tillbaka. Även känd som Terdot fick banktrojan berättelse för några år sedan när operatörerna använde smarta distributionsmetoder för att sprida skadlig programvara runt och stjäla människors lösenord. Då förklarade säkerhetsforskare hur, utöver att filtrera in inloggningsdata för finansinstitut, skadeprogramoperatörerna försökte kapa offrens sociala mediekonton och använda dem som ett förökningsmedel. Men vid ett tillfälle slutade de plötsligt att distribuera det. Nu har de vänt sig tillbaka till det, och när du ser hur det fungerar kanske du kommer att undra varför de övergav det i första hand.

Zeus Sphinx behövde ingen större uppdatering

Den nya vågen av Zeus Sphinx-infektioner upptäcktes av forskare från IBM. De första tecknen på ett comeback visades redan i december, men i mars spikade antalet offer betydligt. IBMs experter dissekerade ett av de fångade proverna och märkte att det inte fanns några riktigt stora uppdateringar av hur skadlig programvara fungerar.

Den aktuella kampanjen förlitar sig på skadliga Microsoft Office-dokument som fungerar som nedladdare för nyttolasten. Filen är spetsad med makroinstruktioner, som skapar en ny mapp på datorns systemenhet och släpper en batchfil i den. En ny VBS-fil skapas som använder WScript.exe-processen för att upprätta en anslutning till Command & Control (C&C) -servern och ladda ner nyttolasten i form av en DLL. När de har installerats lägger Zeus Sphinx till en ny registernyckel för att fastställa uthållighet och uppsättningar för att stjäla människors finansiella data.

Som namnet antyder är Zeus Sphinx baserat på Zeus - en av de mest beryktade skadefamiljerna av denna typ. Trojanen stjäl användarnamn och lösenord med hjälp av webbinjektioner. Närhelst den upptäcker att användaren besöker sin banks webbplats, injicerar Zeus Sphinx kod och skickar inloggningsuppgifter och tvåfaktors autentiseringskoder till skurkarna. Det värsta med den här tekniken är att användaren inte har något sätt att veta att något är fel. Men hur troligt kommer de att infektera sina system med Zeus Sphinx i första hand?

Zeus Sphinx använder COVID-19-pandemin för att komma till fler människor

Som ni säkert redan vet har cyberbrottslingar under de senaste månaderna använt olika socialtekniska tekniker för att utnyttja rädslan kring den nuvarande pandemin för coronavirus, och de som distribuerar Zeus Sphinx har beslutat att ta en liknande strategi.

De skadliga Office-dokumenten kommer på baksidan av e-postmeddelanden med ämnen som läser "COVID-19 Payment", och i exemplet som IBM visade oss säger meddelandet att Justin Trudeau, Kanadas premiärminister, har godkänt en pris på 2500 dollar till var och en av hans kolleger i Kanada som har bestämt sig för att stanna hemma under coronavirus-pandemin. För att göra anspråk på det måste användaren öppna det bifogade dokumentet och fylla i det.

Det borde verkligen inte vara en överraskning att, liksom så många andra cyberkriminella gäng, försöker operatörerna av Zeus Sphinx att banka på paniken kring COVID-19. Det som dock är lite chockerande är att det fortfarande finns människor som kan falla för just denna bedrägeri.

Även om du är övertygad om att du kan undvika detta schema finns det många andra som är mycket mer trovärda. Se till att du tar allt du hittar i din inkorg med en nypa salt, särskilt om det skickades av någon du inte känner.