“Các tội phạm mạng vừa sử dụng một phương thức tấn công mới gây lây lan mã độc ngân hàng Zeus Panda, đánh lừa người dùng bằng các kết quả tìm kiếm Google đã bị nhiễm độc.” Một chuyên gia từ Tập đoàn Hệ thống Cisco cho biết.
.jpg "Hacker thao túng kết quả tìm kiếm để lây lan mã độc")
Cụ thể, hacker đã lợi dụng các công cụ tìm kiếm để dẫn dắt người dùng vào các trang web bị nhiễm độc. Khi những từ khoá về Tài chính (Finance) được nhập vào Google, một loạt các trang web có chứa những từ khoá liên quan sẽ hiện ra, trong đó những trang web có lượng đánh giá và bình luận cao sẽ trở thành các trang web mục tiêu mà hacker sẽ tấn công và chèn file Word bị nhiễm mã độc vào. Ví dụ, cụm từ khoá “giờ làm việc của ngân hàng Al Rajhi ở Ramadan” sẽ dẫn đến một trang web bị nhiễm độc có số lượng tìm kiếm cao (như hình).
Khi nạn nhân tải các tập tin Word từ trang web này về và mở ra, mã độc sẽ nhiễm vào máy. Đối với những trang web đã nhiễm độc nhưng có ít lượt truy cập, hacker chèn thêm các từ khoá mong muốn vào những trang web này nhằm đẩy nhanh lượt tìm kiếm trên Google. Theo Cisco, các nhóm từ khoá tập trung chủ yếu vào các tổ chức tài chính ở Ấn Độ và Trung Đông.
Gần đây, ba đồng tác giả Edmund Brumaghin, Earl Carter và Emmanuel Tacheau đã bình luận trong bài báo cáo của mình: “ Một trong những điểm thú vị của chiêu thức này là cấu hình chung và phương thức hoạt động của nó khác với các phương thức phân tán mã độc truyền thống mà chúng ta thường thấy từ trước đến nay.”
Cụ thể, quá trình lây nhiễm phần mềm độc hại bắt đầu khi nạn nhân truy cập vào các trang web bị nhiễm độc. Trong một số trường hợp, các trang web này tự động chuyển hướng đến một trang web khác hiển thị thông báo giả: “Máy tính của bạn đã bị nhiễm Zeus trojan” và mời gọi nạn nhân tải về máy tính một phần mềm chống virus giả (Fake AV). Theo Cisco, khi nạn nhân bấm vào những trang web có thông báo giả này, trang web chủ (trang web ban đầu đã bị nhiễm độc) sẽ chuyển hướng kết nối của nạn nhân sang JavaScript được lưu trữ trên một trang web trung gian. Kết quả là khách hàng truy xuất và thực thi JavaScript được đặt tại địa chỉ được chỉ định bởi phương thức document.write (). Sau đó một trang web mới dẫn đến một yêu cầu HTTP GET. Yêu cầu GET trả lại mã chuyển hướng HTTP 302, chuyển hướng máy tính của nạn nhân đến trang web chứa tài liệu Word độc hại và tự động tải tài liệu này về máy. Đây là một kỹ thuật thường được gọi là '302 đệm' và thường được chạy bằng bộ công cụ khai thác (exploit kits).
Tiếp theo, một thông báo hiện lên sẽ yêu cầu người dùng Mở hoặc Lưu (không có Tắt) tài liệu độc hại. Nếu tài liệu Word được mở, người dùng sẽ bị buộc phải chọn “Cho phép chỉnh sửa” ("Enable Editing") và nhấp vào “Mở nội dung” ("Enable Content"). Ngay khi nội dung được "bật", mã độc sẽ được kích hoạt.
Brumaghin – một chuyên gia của Cisco Talos cho rằng sự biến tướng của Zeus Panda rất phức tạp do cơ chế nén dữ liệu lạ với nhiều kĩ thuật lẩn tránh tinh vi đang gây không ít khó khăn cho các nhà nghiên cứu trong quá trình phân tích mã độc này.
Brumaghin cũng tin rằng, trước sự lây lan chóng mặt của nhiều loại virus và mã độc nguy hiểm hiện nay, người dùng có khuynh hướng tin tưởng nguồn thông tin hiển thị trên các công cụ tìm kiếm và điều này đã tạo một môi trường thuận lợi cho các cho các hacker lợi dụng kết quả của công cụ tìm kiếm để tấn công các nạn nhân.