Эксперты Cisco Talos выявили необычную кампанию по распространению банковской троянской программы Zeus Panda. Хакеры наравне со спам-сообщениями и вредоносными рекламными баннерами пользуются приемами SEO-оптимизации.
Исследователи выяснили, что основным каналом распространения Zeus Panda является сеть взломанных сайтов, на которых киберпреступники размещают скрытые страницы с тщательно отобранными ключевыми словами. Кроме того, эти «ключи» добавляются в уже существующие страницы. В результате хакеры стремятся обмануть Google SERP (Search Engine Results Pages): вредоносные веб-ресурсы попадают на первые позиции поисковой выдачи по ключевым словам, которые относятся к банковскому обслуживанию.
При переходе пользователей на такие сайты из поисковой выдачи запускается вредоносный JavaScript, который осуществляет переадресацию жертв через несколько других порталов для дальнейшей загрузки инфицированного документа Word. Эти цепочки переадресаций обычно создаются для кибератак с применением вредоносных рекламных объявлений, когда пользователь переходит от ресурса с рекламой через несколько различных страниц к набору эксплоитов или фальшивому патчу для программного обеспечения. Эксперты утверждают, что кибергруппировка, распространяющая Zeus Panda, объединила эти две техники и использует наряду с цепочками переадресации стандартные приемы SEO-ботнетов, например, подъем рейтинга одних взломанных сайтов за счет других скомпрометированных ресурсов.
