日逾8萬台電腦感染網銀病毒,破解雙重認證,非法轉帳

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank日本「東京警視廳」「網路犯罪對策課」日前表示,他們已經發現,約八萬兩千台電腦,感染了一種叫「VAWTRAK」新型病毒,會非法轉帳網路銀行存款。

為了加強網上銀行安全,不少銀行都會要求客戶根據手機,輸入只能使用一次的驗證碼。不過東京警視廳發現有駭客利用新型電腦病毒及釣魚網站,成功盜取受害者的驗證碼,將受害者的存款暗中轉帳到其他戶口。過去一年同類個案多達一千八百宗,涉及金額共二十九億日圓。

日本石川縣一名女子去年八月舉報她遭駭客盜取驗證碼,從戶口盜走九十六萬日圓。警方發現受害者的電腦感染VAWTRAK病毒,當登入網路銀行後,畫面出現要求輸入驗證碼的假網站,只要受害人輸入相關資料便中招,在受害人毫不知情的情況下非法轉帳。

日本警視廳表示,日本感染這種新型病毒的電腦,大約有四萬四千台。其餘分佈在歐美與亞洲等幾十個國家,日方已經透過「國際刑警組織」,向各國提供相關資訊。

以下是趨勢科技在今年初對該病毒所做的分析:


 

銀行木馬VAWTRAK利用惡意巨集及Windows PowerShell

趨勢科技在去年看到Windows的PowerShell命令列如何被惡意巨集下載程式用來散播ROVNIX。雖然在11月的攻擊並沒有直接的利用PowerShell功能,我們現在看到銀行木馬VAWTRAK濫用此Windows功能,同時也利用微軟Word內的惡意巨集。

銀行木馬VAWTRAK跟竊取網路銀行資料有關。被針對的銀行包括美國銀行、巴克萊銀行、花旗銀行、匯豐銀行、勞埃德銀行和摩根大通。過去也看過一些變種針對德國,英國,瑞士和日本的銀行

通過「聯邦快遞」垃圾郵件到達

感染鏈開始於垃圾郵件。大多數和此感染相關的郵件都偽裝成來自聯邦快遞(FedEX)。這些假郵件通知收件者包裹寄達,還包含了送件號碼。

圖1、「聯邦快遞」垃圾郵件

趨勢科技看到另一封郵件來自假的美國航空(American Airlines)電子郵件地址,它通知收件者信用卡已經被用來處理交易。附上的是Word格式的電子機票,裡面本應該要包含交易細節。

圖2、「美國航空」電子郵件

 

使用巨集和PowerShell

當收件者打開檔案後會先看到亂碼。檔案要求使用者啟用巨集,左上角的安全警告會帶領使用者去啟用該功能。

圖3、檔案啟用巨集前和後

 

一旦巨集被啟用,會植入一個批次檔到受影響系統中,還包括一個VBS檔案和一個PowerShell腳本。該批次檔被設計用來執行VBS檔,然後提示執行PowerShell檔案。PowerShell檔案最終會下載VAWTRAK變種(偵測為BKDR_VAWTRAK.DOKR)。

圖4、連到特定網址下載VAWTRAK

使用三個元件(批次檔、VBScript和Windows PowerShell檔)可能是種躲避偵測的手段。VBS檔具備「-ExecutionPolicy bypass」旗標來繞過受影響系統的執行政策。這些政策往往被許多管理者視為「安全」功能。它們不會允許腳本執行,除非符合政策要求。當使用「-ExecutionPolicy bypass」後,「不會封鎖任何事情,而且沒有警告或提示」。這意味著惡意軟體感染鏈可以被進行而沒有任何安全性封鎖。

VAWTRAK惡意行為

一旦BKDR_VAWTRAK.DOKR進入電腦,它會從不同來源竊取資料。例如,它會從郵件服務(如微軟Outlook和Windows Mail)竊取電子郵件登入憑證。它也會試圖從不同瀏覽器(包括Google Chrome和Mozilla Firefox)竊取資料。它還會從檔案傳輸軟體或檔案管理軟體像是FileZilla竊取帳號資訊。

此外,BKDR_VAWTRAK.DOKR可以繞過像一次性密碼(OTP)的雙因子身份認證,也具備像自動化轉帳系統(ATS)等功能。

VAWTRAK惡意軟體的SSL繞過和ATS能力取決於它接收到的設定檔。設定檔包含了用於ATS和SSL的腳本,該腳本會被注入到瀏覽器。惡意腳本可能根據目標網站而不同。SSL繞過和ATS腳本就像注入到客戶端瀏覽器的自動化腳本。這將製造出受害者電腦上的交易已經完成的印象,減少對惡意軟體的懷疑。

它也會透過像擷取、截圖和網站注入等方法來竊取資料。被針對的網站包括亞馬遜、Facebook、Farmville,Google、Gmail、雅虎信箱和Twitter。

VAWTRAK,新與舊

使用帶有惡意巨集Word文件檔,這跟之前已知的VAWTRAK抵達方式不同。 VAWTRAK變種之前是漏洞攻擊帶來的惡意軟體;有些VAWTRAK感染是Angler漏洞攻擊包感染鍊的一部分。使用巨集的行為跟其它資料竊取惡意軟體類似,尤其是ROVNIXDRIDEX

我們看到另一個明顯的變化是惡意軟體所使用的路徑和檔案名稱。VAWTRAK變種之前使用以下路徑和檔案名稱:

%All Users Profile%\Application Data\{random file name}.dat

%Program Data%\{random file name}.dat

 

它們之後改變成

%All Users Profile%\Application Data\{random folder name}\{random filename}.{random file extension}

%Program Data%\{random folder name}\{random filename}.{random file extension}

 

路徑和檔案名稱的變化也可能對安全性造成影響,如果系統依賴於行為規則來進行偵測。假如它們偵測VAWTRAK的規則是尋找%All Users Profile%\Application Data%Program Data%目錄內的DAT副檔名,就需要加以更新才能捉到這些VAWTRAK樣本。

利用巨集躲避偵測

VAWTRAK是最新利用巨集進行攻擊的惡意軟體家族。巨集曾在十幾年前流行過,但很快就消失不見。此一特定VAWTRAK變種利用密碼保護巨集,使得分析這惡意軟體變得更加困難,因為沒有密碼或特殊工具就無法檢視或打開巨集。

受影響國家

趨勢科技從2014年11月開始就一直在監控這一波新的VAWTRAK感染。在受影響國家中,美國的感染數量最多,其次是日本。之前來自趨勢科技主動式雲端截毒服務  Smart Protection Network的資料顯示大多數VAWTRAK感染發現在日本

圖5、受此新VAWTRAK變種影響的前十名國家

 

結論

自從VAWTRAK在2013年8月第一次被發現假冒成送件通知的附件檔以來,已經有過一些顯著的改進。再加上連續使用了惡意巨集和Windows PowerShell,網路犯罪分子已經製造出進行資料竊取的理想工具。趨勢科技的主動式雲端截毒技術可以保護使用者免於此威脅,封鎖所有相關的惡意檔案、網址和垃圾郵件。也建議使用者要能夠分辨假冒和正常的電子郵件,比方說此案例中真正的電子機票或收據跟假冒的不同。

 

相關雜湊值:

 

  • de9115c65e1ae3694353116e8d16de235001e827(DOKR)
  • 1631d05a951f3a2bc7491e1623a090d53d983a50(A)
  • 77332d7bdf99d5ae8a7d5efb33b20652888eea35(SM0)

 

 

@原文出處:Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

FB_banner0331-2

◎ 歡迎加入趨勢科技社群網站