Аналітики компанії Cisco Talos виявили незвичайну шкідливу кампанію, спрямовану на поширення банківського трояна Zeus Panda. Замість вже звичного спаму і шкідливої ​​реклами в даному випадку зловмисники використовують прийоми SEO оптимізації.

Як з'ясували фахівці, основний канал поширення Zeus Panda - це широка мережа зламаних сайтів, на яких зловмисники розміщують додаткові, приховані сторінки, що містять ретельно відібрані ключові слова. Також такі «ключі» впроваджуються і до складу вже існуючих сторінок. В результаті злочинцям вдається ввести в оману Google SERP (Search Engine Results Pages), тобто шкідливі сайти виявляються нагорі пошукової видачі за ключовими словами, пов'язаними з особистими фінансами і банківським обслуговуванням.

Шкідливий сайт в пошуковій видачі

Коли користувачі, потрапляють на такі сайти з пошукача, на тлі спрацьовує шкідливий JavaScript, який перееадресует жертв через кілька інших ресурсів, а в кінці їх чекає заражений документ Word. Подібні ланцюжка переадресаций, як правило, більш характерні для атак з використанням шкідливої ​​реклами, коли користувача проводять через ряд URL, від сайту з рекламою до експлоїт-кита, фальшивого оновлення ПЗ або іншого лаві. Дослідники пишуть, що угруповання, що стоїть за поширенням Zeus Panda, поєднала дві ці техніки воєдино і поєднує ланцюжка прееадресацій з класичними прийомами SEO-ботнетів (коли одні зламані сайти, піднімають рейтинг інших зламаних сайтів).

«В цілому конфігурація і управління інфраструктурою, що використовується для поширення малварі, виявилися цікавою і не схожою на те, що Cisco Talos спостерігає зазвичай. Це ще один яскравий приклад того, що атакуючі постійно змінюють і вдосконалюють свої техніки », - резюмують фахівці.

Варто відзначити, що сам троян Zeus Panda раніше вже потрапляв в поле зору ІБ-експертів. Наприклад, ще минулого літа фахівці G Data опублікували детальний аналіз самої малварі і шкідливих документів, за допомогою яких вона поширюється.