Zeus manipuleert zoekresultaten Google

Dat constateert Talos, de beveiligingspoot van Cisco.

Terwijl veel mensen vertrouwen op de zoekresultaten van Google, zijn aanvallers begonnen die te vergiftigen met kwaadaardige links. Daarvoor gebruiken ze Search Engine Optimization-technieken.

De verspreiders van een nieuwe versie van Zeus Panda gebruiken daarvoor specifieke sleutelwoorden die verband houden met bankieren en financiering. Daarmee kunnen ze preciezer inzoomen op hun doelgroep, waarvan ze financiële informatie willen stelen. De sleutelwoorden verbeteren hun zoekresultaten in Google, waardoor ze verder naar boven komen te staan en eerder worden aangeklikt.

Alleen Google

Volgens Cisco Talos is het voor het eerst dat SEO-misbruik toegepast wordt voor de verspreiding van malware. Vooralsnog richten ze zich voornamelijk op de zoekmachine van Google.

In dit geval hebben de hackers webservers aangevallen en gecompromitteerd om de kwaadaardige links naar boven te krijgen in zoekresultaten. De links wekken geen argwaan omdat ze verborgen zijn onder gecompromitteerde zakelijke websites die veel bekeken worden en ook voorzien zijn van ratings. Bovendien is deze aanvalstechniek nieuw, waardoor weinig mensen er op bedacht zijn.

De slachtoffers worden na het aanklikken van het kwaadaardige zoekresultaat uiteindelijk doorgelinkt naar een site met een malicieus Word-document. Dit bevat kwaadaardige macro’s die overgaan tot uitvoering als gebruikers ze downloaden en op ‘enable content’ klikken.

Wie hier achter zitten, is niet duidelijk. In tegenstelling tot eerdere versies van Zeus Panda werkt deze versie niet niet op systemen met een toetsenbord mapping voor de talen Russisch, Wit-Russisch, Kazachstaans en Oekraïens.