Киберпреступная группировка, распространяющая банковский троян Zeus Panda, воспользовалась новым и весьма неожиданным методом. Как сообщают исследователи из Cisco Talos, вместо уже привычных фишинговых писем и вредоносной рекламы преступники взялись за SEO-продвижение.
Группировка использует сеть взломанных сайтов с внедренными в них ключевыми словами, которые подбирались, по всей видимости, с особой тщательностью. Преступники пользовались тем, что у скомпрометированных сайтов были высокие позиции в выдаче Google. Ссылки на взломанные сайты появлялись в выдаче по запросам, связанных с online-банкингом и финансами.
Процесс заражения происходит по тщательно спланированной схеме. Нажав на ссылку, которая выпала по введенному запросу, пользователь попадает на взломанный сайт, на котором в фоновом режиме выполняется вредоносный JavaScript-код. Далее сайт перенаправляет его через ряд ресурсов, пока тот не попадет на сайт, предлагающий скачать вредоносный документ Word. Для успешной атаки пользователь должен активировать макросы в Word. После их активации запускаются скрытые скрипты, устанавливающие на атакуемую систему банковский троян Zeus Panda.
Если вы еще не знали, подобная запутанная цепочка перенаправления URL-адресов характерна для вредоносных рекламных кампаний и если то, что происходит на экране компьютера выходит из-под вашего контроля – дело тут нечисто. Зачастую, в процессе подобных кампаний, жертва перенаправляется на сайты с вредоносной рекламой или наборами эксплоитов, на поддельные страницы техподдержки или на мошеннические уведомления о необходимости обновить ПО.
Источник: securitylab.ru