Киберпреступная группировка, стоящая за атаками банковского трояна Zeus Panda, взяла на вооружение инновационный, доселе не использовавшийся метод распространения вредоноса.
Группировка Zeus Panda использует сеть взломанных сайтов, в которые были внедрены тщательно подобранные ключевые слова (в новые или уже существующие страницы). Злоумышленникам играли на руку высокие позиции скомпрометированных ресурсов на странице поисковой выдачи Google. Взломанные сайты отображались в выдаче по запросам, связанным с online-банкингом и финансами. К примеру, когда пользователь вводит в поисковик запрос «рабочие часы банка такого-то», вверху выдачи оказывается вредоносный сайт.
Кликнув на ссылку, пользователь попадает на взломанный сайт, где в фоновом режиме выполняется вредоносный JavaScript-код, перенаправляющий жертву через ряд ресурсов, пока она не попадет на сайт, предлагающий скачать вредоносный документ Word. Подобная запутанная цепочка перенаправления URL-адресов характерна для вредоносных рекламных кампаний. В ходе таких кампаний жертва перенаправляется на сайты с вредоносной рекламой или наборами эксплоитов, на поддельные страницы техподдержки или на мошеннические уведомления о необходимости обновить ПО.
Zeus Panda, по сути, объединил две техники в одну. Злоумышленники используют как SEO спам-ботнеты из взломанных сайтов с ключевыми словами, повышающими рейтинг других сайтов, так и классическую цепочку перенаправления URL-адресов.
Для успешной атаки жертва должна активировать макросы в Word. После активации макросов запускаются скрытые скрипты, устанавливающие на атакуемую систему банковский троян Zeus Panda.
Поисковая оптимизация – комплекс мер по внутренней и внешней оптимизации для поднятия позиций сайта в результатах выдачи поисковых систем по определенным запросам пользователей.