搜索结果被 “投毒”，黑客借此传播 Zeus Panda 银行木马

trojan

“网络犯罪组织正利用新的方式对 Google 搜索结果进行 “投毒”，希望借此传播 Zeus Panda 银行木马来感染用户。” Cisco 的研究人员介绍说。

此次被 “投毒” 的关键字主要和金融有关，受害者将被诱导到相关的 “投毒” 网站，其中木马下载是借助恶意 Word 文档实现的。

“恶意软件的传播过程非常有趣，它和常见的方式都不大一样。” Cisco Talos 团队在上周四发表的一份报告中写到。

该组织的攻击目标一般是 SEO 排名高的且展示在搜索结果首页上的金融网站，这些网站包含对应的关键字，因此当用户进行相关主题搜索时就有可能访问到恶意页面，同时，攻击者也会在已有页面中插入所需关键字来提高 “投毒” 网站的搜索排名。

例如，在搜索 “al rajhi bank working hours in ramadan” 时会给出如下被 “投毒” 的金融网站，其评价和反馈都很好。 Cisco 表示，这些关键字专门针对印度以及中东地区的金融机构。

“SEO 投毒这种方式已经存在很长时间了，且表现形式也很多样，比如网页钓鱼等。然而，将其作为大型恶意程序传播网络的一部分是不常见的。” Brumaghin 在接受 Threatpost 采访时表示。

“当受害者访问恶意的页面时，被 “投毒” 网站会借助 JS 代码将页面重定向到一个中转网站，之后再发起 HTTP GET请求。" Cisco 研究人员表示。

而 GET 请求会被 302 重定向到另一个提供恶意 Word 文档下载的网站。 “最终，用户会下载这个恶意文档。此技术通常称为 “302 缓冲”，经常会在 EK（Exploit Kit）工具中见到。” Cisco 介绍道。

接下来，会提示用户打开或保存恶意文档。如果选择打开文档，则会要求用户单击 “启用编辑” 和 “启用内容”，单击后会自动释放相关的恶意 payload。

Brumaghin 解释说：“Zeus Panda 这种木马变种很特殊，它引入了一种全新的加壳机制，包括多种隐藏和混淆技术，使得研究人员更难进行分析。”

同时，此恶意程序还使用了其它手段来加大分析的难度，“例如在初始阶段会进行上百次的 API 调用，但调用参数都是无效的。” 研究人员介绍道，“这种做法旨在吸引分析人员的注意力，以增加分析所需的时间和精力。”

Brumaghin 还表示：“随着用户对钓鱼邮件认识的不断提升，他们可能会对附件持怀疑的态度。因此，攻击者开始寻找新的方式来传播这些文件，例如在搜索结果上做文章，因为用户更有可能会相信搜索引擎提供的内容。”

本文由看雪翻译小组 BDomne 编译

2、Tor Project启用下一代洋葱网络加强隐私保护

Tor Project已经对洋葱网络的基础架构进行了重大改变。

Tor Project维护的洋葱网络作为最大的匿名在线网络，一直帮助它的用户匿名访问Web站点，以及加密网站的匿名运行。

但是，现如今，洋葱网络背后的基础架构和加密机制已经有些过时，最终将使它易受潜在攻击者的攻击。

洋葱网络已经成为一个颇受关注的攻击目标，收购和转售零日漏洞的公司Zerodium甚至愿意为洋葱网络零日漏洞支付100万美金的赏金。

考虑到这些威胁，Tor Project在过去四年里一直在努力升级基础设施。好消息是，就在几周前，Tor Project宣布发布Tor 0.3.2.1-alpha，其中包括对下一代洋葱网络的支持。下一代洋葱网络整合了前沿的加密算法和全局认证机制。

Tor Project的George Kadianakis在谈到下一代洋葱网络中使用的加密技术时说，新系统的设计完全是为了“防止信息泄漏并减少整体的攻击面”。

alpha版中还修复了协议中最近发现的安全问题，包括使用恶意节点了解网络的可能性，最终降低了网络的匿名性。

Tor Project宣布了几个即将更新的安全特性，这将使攻击者更难揭露Tor用户的真实身份。

“随着代码进一步稳定，我们计划增加诸如离线服务密钥、高级客户端授权、控制端口接口、改进的保护算法、安全命名系统和统计&混合延迟路由、区块链支持、AI逻辑和VR接口这些新特性” ————来自Tor Project官方博客

目前这个洋葱网络的新实现依然支持旧有的洋葱网络实现，但它很快就将取代整个网络并成为默认实现。

声明：该文观点仅代表作者本人，转载请注明来自看雪