Vírusos weboldalakra vezetett a Google

A Google keresőjével való trükközéssel érik el a Zeus Panda trójai terjesztői, hogy minél több számítógépet tudjanak megfertőzni a banki adatokat lopkodó szerzeményükkel.
 

Kiberbűnözői körökben sem ismeretlen fogalom a keresőoptimalizálás. Az úgynevezett SEO-s (Search Engine Optimization) trükkök már régebben is jelen voltak a netes csalók körében. A módszerről pedig nem szoktak le, sőt manapság egyre gyakrabban használják azt vírusterjesztéshez is. A Cisco Talos kutatói egy ilyen alvilági akciót lepleztek le.
 
Ezúttal a Zeus Panda trójai terjesztői gondolták úgy, hogy segítségül hívják a Google keresőjét. A céljuk nem más, mint hogy bizonyos keresőkifejezések esetén a saját, kártékony weboldalaik jelenjenek meg a találati lista elején. Persze tudták azt, hogy ehhez szükségük van arra is, hogy a weboldalaikra minél több link mutasson. Ennek kivitelezése azonban nem okozott számukra nehézséget, mivel több száz feltört szervert és weboldalt vetettek be. Az akciójuk sajnos olyan jól sikerült, hogy egyes kifejezések esetén a találati lista első oldalán több weblapjuk is feltűnt.
 
Mivel a Zeus Panda már a kezdetek óta leginkább banki adatokra "harap", ezért nyilvánvalóan olyan keresőkifejezésekre hangolódtak a csalók, amelyek banki ügyfelek érdeklődését kelthetik fel.   
Amennyiben a felhasználó beírta a fenti kifejezéseket a Google keresőjébe, akkor meglehetősen nagy eséllyel futhatott össze kártékony weboldalakra mutató linkekkel. A helyzet azonban nem volt ilyen egyszerű, ugyanis többlépcsős károkozásokról beszélhetünk.  
Először "csak" egy olyan oldal jelent meg a böngészőben, amely JavaScriptek segítségével további átirányításokat végzett, és ezt követően került fel a PC-re a trójai. Itt kell megemlíteni, hogy esetenként ekkor egyéb, általában technikai támogatásos csalások is felütötték a fejüket. Ilyenkor a felhasználó egy figyelmeztető üzenetet kapott, amelyben arra próbálták rávenni, hogy hívjon fel egy telefonszámot a (mondvacsinált) technikai problémák orvoslásához. Ezek a csalások is adatok kipuhatolását vagy a számítógépekhez való hozzáférés elősegítését szolgálták az elkövetők számára.  
Így működik a trójai
 
Amikor a Zeus Panda elindul a kiszemelt rendszeren, akkor nekilát a bizalmas adatok kikémleléséhez, kiszivárogtatásához. A károkozó persze ezúttal is mindent elkövet annak érdekében, hogy nehéz legyen detektálni, illetve elemezni. Nem okoz károkat például akkor, ha azt észleli, hogy VMware, VirtualPC, VirtualBox, Parallels, Sandboxie, Wine vagy SoftIce alapú rendszeren fut. Trükközik Windows-os API-hívásokkal, és még azt is figyeli, hogy közbe-közbe mozog-e a kurzor. Ez utóbbival azt próbálja elérni, hogy automatizált vírusdetektáló rendszeren ne induljon el, és csak akkor fusson, ha a számítógép előtt ténylegesen felhasználó tevékenykedik.
 
Mint látható, a Zeus Panda a szóban forgó támadássorozat részeként elsősorban angol nyelvterületeken hódít, de ez nem jelenti azt, hogy például a magyar PC-ket megvetné. A Cisco szerint azokkal a számítógépekkel kivételez, amelyeken a területi beállítás (billentyűzetkiosztás) orosz, belorusz, kazak vagy ukrán nyelvű.
 
A kártevő ellen korszerű és naprakész víruskeresővel, valamint megfontolt internetezéssel lehet leginkább felvenni a küzdelmet.