کمیته رکن چهارم – پژوهشگران آزمایشگاه امنیتی سیسکو تالوس گفتند، مجرمان سایبری از رویکردهای جدیدی برای آلوده کردن نتایج جستجوی گوگل استفاده میکنند تا کاربران را با یک تروجان بانکداری به نام Zeus Panda آلوده کنند.
مهاجمانی که برای آلوده کردن نتایج گوگل تلاش میکنند، جستجوهای کلیدواژهی مربوط به امور مالی را هدف اصلی خود قرار میدهند تا قربانیان را به وبگاههای تله هدایت کنند که در آنها از اسناد مخرب ورد برای بارگیری بدافزار بانکداری استفاده میشود.
ادموند برومَقین (Edmund Brumaghin) و ارل کارتر (Earl Carter) و امانوئل تاچو (Emmanuel Tacheau) در یک گزارش مشترک که در روز پنجشنبه منتشر شد نوشتند: «پیکربندی کلی و عملیات زیرساخت استفاده شده در توزیع این بدافزار جالب بود، زیرا که به روشهای توزیع بدافزاری که معمولاً تالوس مشاهده میکند، متکی نیست.»
مسألهی جدید در مورد رویکرد مهاجمان این است که آنها به کارگزارهای وب آسیب میزنند که این کارگزارها، وبگاههایی با بهینهسازی موتور جستجوی خوب و وبگاههایی که در ردههای اول نتایج جستجو قرار میگیرند، را میزبانی میکنند. بنا به گفتههای سیسکو، این وبگاههای مورد هدف حاوی کلیدواژههای مربوط به امور مالی هستند و در نتیجه زمانی که قربانی برای عناوین مربوط به امور مالی جستجو میکند، در ردههای اول نتایج جستجو نشان داده میشوند. در سایر موارد، مهاجمان کلیدواژههای مطلوبی را داخل صفحات موجودی که به احتمال زیاد صفحات آلودهای هستند که در نتایج جستجوی گوگل در ردههای بالا قرار میگیرند، وارد میکنند.
به عنوان مثال جستجو برای «ساعات کار بانک ریجی در رمضان» یک وبگاه تجاری آسیبدیده را ارائه میدهد که رتبهبندی و بازدیدهای بالایی دارد. بنا به گفتهی سیسکو، گروههای کلیدواژه، به طور خاص موسسات مالی را در هند و خاورمیانه هدف قرار دادند.
برومَقین در مصاحبهای گفت: «آلوده شدن بهینهسازی موتور جستجو، از مدتها قبل بوده است و خود را با روشهای مختلفی مانند فیشینگ نشان داده است. با این حال، اینکه به عنوان بخشی از شبکه توزیع بدافزار گسترده مورد استفاده قرار گرفته است، غیرعادی است.»
به این ترتیب، وبگاههای آلوده هنگامی که قربانیان از آنها بازدید میکنند، یک فرآیند چند مرحلهای آلودگی بدافزار را آغاز میکنند. در برخی موارد، وبگاههای آلوده، قربانیان را به ضدبدافزارهای جعلی و صفحات پشتیبانی فنی با ادعاهای دروغین هدایت میکنند و بازدیدکنندهها با تروجان Zeus آلوده میشوند.
سیسکو گفت: «هنگامی که قربانیان به صفحات وب مخرب دسترسی پیدا میکنند، این وبگاههای آسیبدیده برای هدایت کارخواهها به جاوااسکریپت میزبانیشده در یک وبگاه واسط، از جاوااسکریپت استفاده میکنند. این مسأله باعث میشود که کارخواه جاوااسکریپت موجود در آدرس مشخصشده توسط تابع document.write را بازیابی و اجرا کند. صفحهی بعد شامل کارکردهای مشابهی است، و این بار منجر به یک درخواست HTTP GET میشود.»
سیسکو افزود: «این درخواست GET یک کد تغییر مسیر HTTP ۳۰۲ را باز میگرداند که یک وبگاه با اسناد مخرب آفیس ورد را ارائه میدهد. در نتیجه، کارخواه این تغییر مسیر را دنبال کرده و سند مخرب را بارگیری میکند. این روشی است که معمولاً با عنوان ۳۰۲ cushioning شناخته میشود و معمولاً توسط کیتهای بهرهبرداری از آسیبپذیری استفاده میشود.»
پس از آن، کاربر وادار میشود تا سند مخرب را باز و یا ذخیره کند. اگر این سند باز شود از کاربر خواسته میشود روی «Enable Editing» و «Enable Content» کلیک کند. اگر محتوا فعال باشد بار دادهی مخرب بدافزار انتقال داده میشود.
پژوهشگران گزارش دادند که Zeus Panda منحصر به فرد است زیرا با یک سازوکار بستهبندی جدید بهروزرسانی شده است که از روشهای فرار و مبهمسازی متعددی تشکیل شده که تجزیه و تحلیل این بدافزار را برای محققان بسیار سخت میکند.
محققان گفتند: «این بدافزار همچنین از روشهای دیگری استفاده میکند تا تجزیه و تحلیل را سختتر کند، مانند مرحلهی اول انتشار بار دادهی مخرب، که از صدها درخواست واسط برنامهنویسی معتبر تشکیل میشود که با پارامترهای معتبر فرخوانی میشوند. فرخوانیهای جعلی طراحی شدهاند که تحلیلگر را فریب دهند و زمان و تلاش مورد نیاز برای تجزیه و تحلیل بدافزار را افزایش دهند.»
آنها اضافه کردند: «از آنجا که آگاهی از فیشینگ و توزیع بدافزار مبتنی بر رایانامه در حال افزایش است، احتمال اینکه کاربران در مورد پروندههای آلوده شک و تردید کنند بیشتر است. در نتیجه، مهاجمان این پرونده ها را با استفاده از روشهای جدیدی مانند نتایج جستجوی قربانیان احتمالی، ارائه میدهند، زیرا احتمال آن زیاد است که کاربران به نتایج ارائه شده توسط موتورهای جستجو اعتماد کنند.»
منبع : news.asis.io
