XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ
QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Zeus troyanının yeni yayılma üsulu aşkar olunub.

12 İyun 2017

Kibercinayətkarlar yeni yanaşma tapıblar, belə ki, istifadəçiləri öz sistemlərində ixtiyari kodu yerinə yetirməyə və zərərli proqramı yükləməyə məcbur etmək üçün PowerPoint fayllarından və mouseover hadisələrindən istifadə edirlər. Çox vaxt cinayətkarlar xüsusilə yaradılan Office fayllarını, əsasən də Word sənədlərini zərərli proqramların yayılması üçün istifadə edirlər. Adətən belə hücumlar sosial mühəndisliyə əsaslanır və istifadəçilərə saxta yolla sənədə quraşdırılmış VBA-makrosları işə salmağa məcbur etməyə çalışırlar.

Lakin bu yaxınlarda tədqiqatçılar PowerShell kodunu yerinə yetirmək üçün mouseover hadisələrini istifadə edən zərərli PowerPoint fayllarını aşkar ediblər.  Dodge Ruben Daniel tərəfindən aparılan təhlil göstərir ki, Powerpoint-in zərərverici təqdimatı açılan zaman, burada "Loading...Please wait " mətni əks olunur.
Əgər istifadəçi mausu linkə yönləndirirsə, ona tuşlamasa belə Powershell kodu yerinə yetirilir. Əksər halda Office versiyalarını dəstəkləyən susmaya görə işə salınmış müdafiə funksiyası, istifadəçini risklər haqqında məlumatlandırır və ona kontenti yandırmağı və ya söndürməyi təklif edir.
Əgər istifadəçi tərkibin icra olunmasına icazə verirsə, kod Powershell "cccn.nl" domeni ilə əlaqə yaradır. Daha sonra bu domendən fayl yüklənir və yerinə yetirilir, nəticədə ziyanlı yükləmənin quraşdırılmasına gətirib çıxarır. SentinelOne alimləri hücumu təhlil etdilər və gördülər ki, o Zusy, Tinba və Tiny Banker adı almış bank troyanın yeni variantının yayılması üçün istifadə olunur.