E se le Serp di Google venissero sfruttate dai pirati informatici per rubare denaro agli utenti? Lo scenario, secondo quanto rivelato dai ricercatori di Cisco Talos, non è così fantascientifico. Gli esperti hanno infatti identificato una nuova modalità di diffusione del trojan bancario Zeus Panda, che sfrutta una combinazione di query “sensibili”, siti Web compromessi e macro di Word infette. Utilizzando tecniche Seo avanzate, i cybercriminali possono far salire le pagine corrotte in cima al ranking di Google, per dirottare così le vittime su siti creati ad hoc. Per crescere nella classifica, i cybercriminali ricorrono a tag e parole specifiche legate al mondo bancario. Spulciando i dettagli pubblicati da Talos, si capisce come i pirati stiano cercando di ottenere credenziali di accesso a istituti di credito come Nordea Sweden, State Bank of India, Axis Bank, Commonwealth Bank of Australia e Al Rajhi Bank.
Nel mirino dei malintenzionati sono finite anche le persone che cercano su Google maggiori informazioni sul sistema di pagamenti internazionali Swift. Una volta aperta la pagina, la vittima dà il via a un processo di infezione multistadio: il sito ospita del codice Javascript che, in automatico, effettua il redirect verso un’altra stringa Javascript nascosta in una pagina terza. Da qui, l’utente viene rimbalzato verso un altro sito, che fa partire il download di un file Word maligno.
Come sottolineato dal team di Cisco, questa tecnica è nota nell’ambiente con il nome “302 cushioning” (imbottitura), perché sfrutta il codice di stato Http 302 per effettuare il redirect verso risorse terze. Una volta scaricato il documento, il browser chiede all’utente di aprire il file e, se viene autorizzata la modifica e l’esecuzione delle macro, viene avviato il download di un portable executable maligno: il trojan Zeus Panda.
Il programma verifica inizialmente se il layout della tastiera è russo, bielorusso, kazako o ucraino: se la risposta è positiva l’infezione non si verifica. È un modo come un altro per non colpire le persone di questi Paesi, allo scopo di non attrarre le attenzioni delle forze dell’ordine locali. È probabile quindi che i pirati informatici operino in questi quattro Stati. Dopo il primo check, Zeus Panda controlla l’eventuale presenza di hypervisor o sandbox.
Credits: Cisco Talos
Il trojan rimane così residente nei sistemi e inizia a intercettare i dati dell’utente nascondendosi nei browser, oltre a trafugare schermate, instaurare canali di comunicazione backdoor e altro. Tutte informazioni che possono essere utilizzate per accedere ai servizi di home banking. Il programma maligno è circolato negli ultimi giorni anche in Italia ed è stato segnalato fra gli altri dalla società di sicurezza Yoroi. Il malware, in questo caso, viene aggiunto a file Excel contraffatti, allegato a delle false email provenienti da Enel Energia, oppure a moduli F24 dell’Agenzia delle Entrate.