Операторы Zeus Sphinx возобновили активность во время пандемии

После долгих лет затишья операторы вредоносного ПО Zeus Sphinx (также известного как Zloader или Terdot) возобновили свою активность с целью извлечь выгоду во время пандемии коронавирусной инфекции.

По словам исследователей из подразделения IBM X-Force, деятельность Zeus Sphinx была  обнаружена  во время мартовских правительственных кампаний по оказанию помощи в борьбе с пандемией. Преступники организовали фишинговые кампании, в ходе которых распространяют вредоносные файлы под названием «COVID 19 relief» («Облегчение COVID 19»). Преступники отправляют своим жертвам электронные сообщения, в которых якобы хранятся секреты новых методов лечения коронавируса, совершают телефонные звонки от имени операторов коммунальных служб и банков, пострадавших от пандемии, а также распространяют поддельные продукты для профилактики коронавируса на торговых online-площадках.

Как сообщается в электронных письмах, жертва может заполнить прилагаемую форму и получить денежную компенсацию за то, что она осталась дома и помогает бороться с растущим уровнем заражения. После загрузки и открытия документ, представленный в виде файла формата .DOC или .DOCX, запрашивает у пользователя включить макросы, которые, в свою очередь, запускают полезную нагрузку Zeus Sphinx посредством перехвата процессов Windows и подключения к C&C-серверу с вредоносным ПО.

После установки на системе Zeus Sphinx сохраняет персистентность, динамически записывая себя в многочисленные файлы и папки, а также создавая ключи реестра. Вредоносная программа также пытается избежать обнаружения с помощью самозаверенного сертификата.

Главной особенностью Zeus Sphinx является web-инъекция. Вредонос изменяет процессы explorer.exe и браузер, включая те, которые используются в Google Chrome и Mozilla Firefox, для извлечения финансовой информации, когда пользователь заходит на целевую страницу (например, платформу online-банкинга).

По словам специалистов, у Zeus Sphinx отсутствует процесс перепрошивки браузеров. Поэтому, если браузер получит обновление, функция web-инъекции вредоноса перестанет работать.