Google Search Results Exploited to Distribute Zeus Panda Banking Trojan

นักวิจัยด้านความปลอดภัยจาก Cisco Talos ตรวจพบการโจมตีโดยการใช้ประโยชน์จาก Google search-engine optimization (SEO) สำหรับการค้นหา Keywords ที่เกี่ยวข้องกับสถาบันการเงิน โดยใช้วิธีการยึดเว็บไซต์ และใช้มาโครสคริปส์ที่เป็นอันตรายในการแพร่กระจาย Zeus Panda banking Trojan เพื่อขโมยข้อมูลส่วนตัวของผู้ใช้งาน
ซึ่งก่อนหน้านี้เคยพบการโจมตีโดยใช้ประโยชน์จาก SEO ในการแพร่กระจายมัลแวร์มาก่อนแล้ว แต่กลุ่มนี้มีการพุ่งเป้าไปยังผู้ใช้งานเฉพาะที่ต้องการค้นหาข้อมูลที่เกี่ยวข้องกับสถาบันการเงิน โดยการใช้ประโยชน์จากผลการจัดอันดับที่แสดงบน Google อย่าง SERP (Search Engine Result Page) เพื่อทำให้ผู้ค้นหาเห็นเว็ปไซต์ที่ต้องการเป็นอันดับแรก โดยเป้าหมายหลักในการโจมตีครั้งนี้จะเป็นลูกค้าในสถาบันการเงินอินเดีย, สวีเดน, ออสเตรเลีย และซาอุดิอาระเบีย นอกจากนี้กลุ่มผู้โจมตีได้ทำการกำหนดเป้าหมายไปยังกลุ่มผู้ใช้งานที่กำลังค้นหารายละเอียดเกี่ยวกับระบบ SWIFT ด้วย
อันดับแรกผู้โจมตีจะทำการยึดเว็ปไซต์จริง และทำการ Optimize เพื่อให้ได้ผลลัพธ์การค้นหาเป็นอันดับแรกจากคำค้นหาที่ต้องการ โดยตัวอย่างของคำค้นหา เช่น

"al rajhi bank working hours during ramadan"
"how many digits in karur vysya bank account number"
"free online books for bank clerk exam"
"how to cancel a cheque commonwealth bank"
"salary slip format in excel with formula free download" เป็นต้น

หากผู้ใช้เข้าถึงเว็บไซต์ที่มีการฝั่ง JavaScript ที่เป็นอันตรายเอาไว้ หน้าเว็บจะทำการ Redirect ไปยังหน้าเพจเพื่อทำการดาวน์โหลดไฟล์เอกสารที่เป็นอันตราย โดยผู้โจมตีจะพยายามหลอกให้ผู้ใช้หลงเชื่อเพื่อเปิดใช้งานมาโครสคริปส์ เมื่อผู้ใช้งานเปิดไฟล์เอกสาร และเปิดใช้งานมาโครสคริปส์ จะทำการดาวน์โหลด Zeus Panda มาติดตั้งบนเครื่อง

ที่มา : Hackread

Read more