Експерти Cisco Talos виявили незвичайну кампанію з розповсюдження банківської троянської програми Zeus Panda. Хакери нарівні зі спам-повідомленнями і шкідливими рекламними банерами користуються прийомами SEO-оптимізації.
Дослідники з'ясували, що основним каналом поширення Zeus Panda є мережа зламаних сайтів, на яких кіберзлочинці розміщують приховані сторінки з ретельно відібраними ключовими словами. Крім того, ці «ключі» додаються до вже існуючих сторінки. В результаті хакери прагнуть обдурити Google SERP (Search Engine Results Pages): шкідливі веб-ресурси потрапляють на перші позиції пошукової видачі за ключовими словами, які відносяться до банківського обслуговування.
При переході користувачів на такі сайти з пошукової видачі запускається шкідливий JavaScript, який здійснює переадресацію жертв через кілька інших порталів для подальшого завантаження інфікованого документа Word. Ці ланцюжки переадресаций зазвичай створюються для кібератак з застосуванням шкідливих рекламних оголошень, коли користувач переходить від ресурсу з рекламою через кілька різних сторінок до набору експлойтів або фальшивому патч для програмного забезпечення. Експерти стверджують, що кібер-угруповання, яка поширює Zeus Panda, об'єднала ці дві техніки і використовує поряд з ланцюжками переадресації стандартні прийоми SEO-ботнетів, наприклад, підйом рейтингу одних зламаних сайтів за рахунок інших скомпрометованих ресурсів.