“网络犯罪组织正利用新的方式对 Google 搜索结果进行 “投毒”，希望借此传播 Zeus Panda 银行木马来感染用户。” Cisco 的研究人员介绍说。

此次被 “投毒” 的关键字主要和金融有关，受害者将被诱导到相关的 “投毒” 网站，其中木马下载是借助恶意 Word 文档实现的。

“恶意软件的传播过程非常有趣，它和常见的方式都不大一样。” Cisco Talos 团队在上周四发表的一份报告中写到。

该组织的攻击目标一般是 SEO 排名高的且展示在搜索结果首页上的金融网站，这些网站包含对应的关键字，因此当用户进行相关主题搜索时就有可能访问到恶意页面，同时，攻击者也会在已有页面中插入所需关键字来提高 “投毒” 网站的搜索排名。

例如，在搜索 “al rajhi bank working hours in ramadan” 时会给出如下被 “投毒” 的金融网站，其评价和反馈都很好。 Cisco 表示，这些关键字专门针对印度以及中东地区的金融机构。

“SEO 投毒这种方式已经存在很长时间了，且表现形式也很多样，比如网页钓鱼等。然而，将其作为大型恶意程序传播网络的一部分是不常见的。” Brumaghin 在接受 Threatpost 采访时表示。

“当受害者访问恶意的页面时，被 “投毒” 网站会借助 JS 代码将页面重定向到一个中转网站，之后再发起 HTTP GET请求。" Cisco 研究人员表示。

而 GET 请求会被 302 重定向到另一个提供恶意 Word 文档下载的网站。 “最终，用户会下载这个恶意文档。此技术通常称为 “302 缓冲”，经常会在 EK（Exploit Kit）工具中见到。” Cisco 介绍道。

接下来，会提示用户打开或保存恶意文档。如果选择打开文档，则会要求用户单击 “启用编辑” 和 “启用内容”，单击后会自动释放相关的恶意 payload。

Brumaghin 解释说：“Zeus Panda 这种木马变种很特殊，它引入了一种全新的加壳机制，包括多种隐藏和混淆技术，使得研究人员更难进行分析。”

同时，此恶意程序还使用了其它手段来加大分析的难度，“例如在初始阶段会进行上百次的 API 调用，但调用参数都是无效的。” 研究人员介绍道，“这种做法旨在吸引分析人员的注意力，以增加分析所需的时间和精力。”

Brumaghin 还表示：“随着用户对钓鱼邮件认识的不断提升，他们可能会对附件持怀疑的态度。因此，攻击者开始寻找新的方式来传播这些文件，例如在搜索结果上做文章，因为用户更有可能会相信搜索引擎提供的内容。”

来源：threatpost

本文由看雪翻译小组 BDomne 编译