طبق گفته محققين امنيتي سيسكو تالوس، مهاجمان و مجرمان سایبری، برای آلوده کردن نتایج گوگل راه هاي مختلفي را پيش گرفته اند و سعي در آلوده نمودن كاربران با يك تروجان بانکداری به نام Zeus Panda را دارند، بطوريكه جستجوهای کلیدواژه ها‌ی مربوط به امور مالی را هدف اصلی خود قرار می‌دهند تا قربانیان و كاربران را به وب سايت هاي آلوده هدایت كنند، در اين وب سايت ها، اسناد مخرب Word برای دانلود بدافزار بانکداری استفاده می‌شود.
 
طرز كار اين مهاجمين به اين صورت مي باشد كه به کارگزارهای وب آسیب زده و آنها را آلوده مي نمايند، وب‌گاه‌هایی كه در صفحه اول نتايج گوگل و در رده‌های اول نتایج جستجو قرار می‌گیرند، را میزبانی می‌کنند. بنا به گفته‌های سیسکو، این وب‌ سايت هاي هدف، حاوی کلیدواژه‌های مربوط به امور مالی هستند و در نتیجه زمانی که قربانی آنها را جستجو مي نمايد، در رده‌های اول نتایج جستجو نشان داده می‌شوند. در سایر موارد، مهاجمان کلیدواژه‌های مطلوبی را داخل صفحات موجودی که به احتمال زیاد صفحات آلوده‌ای هستند که در نتایج جستجوی گوگل در رده‌های بالا قرار می‌گیرند، وارد می‌کنند.
ادموند برومَقین (Edmund Brumaghin) و ارل کارتر (Earl Carter) و امانوئل تاچو (Emmanuel Tacheau) در یک گزارش مشترک که در روز پنج‌شنبه منتشر شد نوشتند: «پیکربندی کلی و عملیات زیرساخت استفاده شده در توزیع این بدافزار جالب بود، زیرا که به روش‌های توزیع بدافزاری که معمولاً تالوس مشاهده می‌کند، متکی نیست.»
به عنوان مثال جستجو برای «ساعات کار بانک ریجی در رمضان» یک وب‌گاه تجاری آسیب‌دیده را گزارش مي دهد که رتبه بالايي در نتايج دارد. بنا به گفته‌ی سیسکو، گروه‌های کلیدواژه، به طور خاص موسسات مالی را در هند و خاورمیانه هدف قرار دادند.
برومَقین در مصاحبه‌ای گفت: «آلوده شدن بهینه‌سازی موتور جستجو، از مدت‌ها قبل وجود داشته و خود را با روش‌های مختلفی مانند فیشینگ نشان داده است. با این حال، اين مساله كه به عنوان بخشی از شبکه توزیع بدافزار گسترده مورد استفاده قرار گرفته است، غیرعادی است.»
پس از بازديد قربانيان از وب‌گاه‌های آلوده، یک فرآیند چند مرحله‌ای آلودگی بدافزار آغاز می‌شود. در برخی موارد، وب‌گاه‌های آلوده، قربانیان را به ضدبدافزارهای جعلی و صفحات پشتیبانی فنی با ادعاهای دروغین هدایت می‌کنند و بازدیدکننده‌ها با تروجان Zeus آلوده می‌شوند.
 طبق گفته سیسکو: «هنگامی که قربانیان به صفحات وب مخرب دسترسی پیدا می‌کنند، این وب‌گاه‌های آسیب‌دیده برای هدایت کارخواه‌ها به جاوااسکریپت میزبانی‌شده در یک وب‌گاه واسط، از جاوااسکریپت استفاده می‌کنند. این مسأله باعث می‌شود که کارخواه جاوااسکریپت موجود در آدرس مشخص‌شده توسط تابع document.write را بازیابی و اجرا کند. صفحه‌ی بعد شامل کارکردهای مشابهی است، و این بار منجر به یک درخواست HTTP GET می‌شود.»
سیسکو افزود: «این درخواست GET یک کد تغییر مسیر HTTP ۳۰۲ را باز می‌گرداند که یک وب‌گاه با اسناد مخرب آفیس ورد را ارائه می‌دهد. در نتیجه، کارخواه این تغییر مسیر را دنبال کرده و سند مخرب را بارگیری می‌کند. این روشی است که معمولاً با عنوان ۳۰۲ cushioning  شناخته می‌شود و معمولاً توسط کیت‌های بهره‌برداری از آسیب‌پذیری استفاده می‌شود.»
پس از آن، کاربر وادار می‌شود تا سند مخرب را باز و یا ذخیره کند. اگر این سند باز شود از کاربر خواسته می‌شود روی «Enable Editing» و «Enable Content» کلیک کند. اگر محتوا فعال باشد بار داده‌ی مخرب بدافزار انتقال داده می‌شود.
پژوهش‌گران گزارش دادند که Zeus Panda منحصر به فرد است زیرا با یک سازوکار بسته‌بندی جدید به‌روزرسانی شده است که از روش‌های فرار و مبهم‌سازی متعددی تشکیل شده که تجزیه و تحلیل این بدافزار را برای محققان بسیار سخت می‌کند.
  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png