Bármennyire is hihetetlen, de a SEO (Search Engine Optimization), azaz a keresőoptimalizálás nem csak jóra használható. A Cisco Talos kutatói a Zeus Panda elemzése kapcsán mutattak be egy olyan módszert, amikor a keresőoptimalizálás segítségével vezetik meg a kiberbűnözők a felhasználókat, és ehhez értelemszerűn az egyik leggyakrabban látogatott weboldalt, a Google keresőoldalát használják fel.

SEO trükkök és a keresés

Ebből persze mindjárt az elején leszűrhető az a szomorú tanulság, hogy a legkörültekintőbb netezés közben és érhetnek bennünket kellemetlen meglepetések, váratlan helyről kapott pofonok. De kezdjük az elején.

Mint azt összefoglalójában a Biztonságportál írja is, a Cisco Talos által elemzett módszer csak részben új, SEO-s (Search Engine Optimization) trükköket ugyanis régóta használnak a netes csalók, de a kutatók szerint egyre gyakoribb, hogy így próbálják széles körben terjeszteni a károkozóikat.

A Zeus Panda trójai terjesztését például azzal segítik, hogy kártékonya weboldalakat úgy SEO-zzák, hogy azok bizonyos célzott keresőszavakra ezeket az oldalakat hozzák fel a találati lista elején. Feltört szerverekkel és weboldalakkal azt is meg tudják oldani, hogy a fertőzött weblapra kellő mennyiségű link mutasson. A Zeus Panda terjesztőinek ez egyébként olyan jól sikerült, hogy volt időszak, amikor több oldaluk is a találati lista első oldalán szerepelt.

A károkozót banki adatok ellopására készítették fel, így a terjesztő oldalak is azokra utaztak, akik banki infókra kerestek rá a Google-ben. Nem kell eget rengető dologra gondolni, elég volt annyi, hogy valaki rákeresett mondjuk egy városban a bankok nyitvatartási idejére.

Többlépcsős fertőzés

A fertőzés folyamata azonban egy kicsit bonyolultabb volt. Először megjelent a böngészőben egy olyan oldal, amely JavaScriptek segítségével további átirányításokat végzett, és csak a következő lépésben került fel a gépre a trójai. Hogy javítsák a hatékonyságot, a csalók néhány esetben még kombinálták is a támadást: a felhasználó figyelmeztető üzenetet kapott, hogy hívjon fel egy telefonszámot valamilyen technikai problémák orvoslásához, ahol aztán hozzáférési adatokat próbáltak megszerezni tőlük.

Maga a Zeus Panda banki adatokra vadászik, és azokat kiszivárogtatja. Nagyon körültekintően írták meg, hogy nehéz legyen felfedezni. Felkészítették például arra, hogy ha VMware, VirtualPC, VirtualBox, Parallels, Sandboxie, Wine vagy SoftIce rendszert észlel, ne induljon el. Figyelembe veszi a windowsos API-hívásokat, és még arra is figyel, hogy mozog-e a kurzor, tehát valóban ott ül-e a felhasználó a gép előtt. Ez utóbbival azt próbálja kivédeni, hogy automatizált vírusdetektáló rendszeren induljon el.

A trójai főleg angol nyelvterületen hódít, de a magyar rendszerek sincsenek biztonságban. A kutatók szerint Cisco szerint az orosz, a belorusz, a kazak és az ukrán területi beállítású, billentyűzetkiosztású gépeket nem támadja.