銀行惡意軟體 SpyEye作者被判九年有期徒刑

 

 

銀行惡意軟體 SpyEye 的作者Aleksandr Andreevich Panin因為製作及散布SpyEye而被判處九年半的有期徒刑。這是Panin在2013年被逮捕以來的最新發展。在2014年初,他已經對製作及散布SpyEye的控訴認罪。

那次逮捕行動是美國聯邦調查局與趨勢科技加上其他執法單位和產業夥伴所共同合作的結果。趨勢科技所提供的資訊(如網路暱稱及所用帳號)被用來找出惡意作者Panin及其同夥的真實身份。

 

SpyEye以竊取銀行及金融網站使用者資料而臭名昭著

SpyEye一開始是以「ZeuS殺手」的身分嶄露頭角。傳言是能夠在殭屍網路戰爭中與ZeuS/ZBOT較量的惡意軟體。跟ZBOT一樣,SpyEye以竊取銀行及金融網站使用者資料而臭名昭著。它還具備了rootkit能力,讓惡意軟體的程序和檔案不被受害者所察覺。

自從其出現開始,好幾個版本的惡意軟體出現肆虐。一個重大轉折發生在ZeuS作者(被稱為「Slavik」或「Monstr」)離開了網路犯罪世界,並將ZeuS原始碼交給了Panin(被稱為「Gribodemon」或「Harderman」)。

 

趨勢科技協助 FBI 成功起訴 SpyEye惡意軟體作者

趨勢科技一直參與對SpyEye的相關調查直到Panin被逮捕。在2011年,我們披露一次調查所得到的發現:一起網路犯罪(稱為「Soldier」)使用SpyEye在六個月內獲得超過320萬美元。這起攻擊主要是針對美國使用者,而某些大型企業和機構(如美國政府和軍方)也受到影響。

Panin遭受逮捕以及被判刑是對Panin及其同夥(Hamza Bendelladj,又被稱為「BX1」)動向調查所產生的結果。比方說,趨勢科技的研究人員滲透了Panin和Bendelladj都會去的地下論壇。他們的貼文會在不經意間透露其電子郵件地址、ICQ號碼或Jabber號碼等資訊 – 這些資訊都可能透露出他們的真實身份。 Continue reading “銀行惡意軟體 SpyEye作者被判九年有期徒刑"

專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?

網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年, ZeroAccess  的破獲行動,減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例,但過沒多久,其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況,儘管警方在 2015 年 10 月 查獲 了它多個幕後操縱 (C&C) 伺服器,但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢,並且在去年的 年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件,誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案,感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

駭客 攻擊 入侵

DRIDEX 之所以無法斬草除根,主要有兩大原因:第一,其殭屍網路的派送機制效率很高,因此擁有廣大的受害者;第二,其不易斬草除根的點對點 (P2P) 網路基礎架構,讓它很快就能恢復營運。除此之外,根據我們推測,DRIDEX 目前也在 網路犯罪地下市場上兜售, 因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。 Continue reading “專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?"

趨勢科技協同 INTERPOL 國際刑警組織破獲SIMDA殭屍網路行動

趨勢科技資安專家也將於 INTERPOL World 2015 世界大會發表演講

台北訊】全球資安軟體領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 長久以來致力提倡全球公私部門合力打擊網路犯罪,今日公開表示參與了國際刑警組織 (INTERPOL) 的 SIMDA 「Botnet傀儡殭屍網路」

破獲行動,與其他資安及科技領導廠商共同協力鏟除一個大型的「Botnet傀儡殭屍網路」。除參與這項行動之外,趨勢科技專家也將於 4 月 14 至 16 日在新加坡舉行的第一屆 INTERPOL World 2015 大會當中,為全球執法及安全機關介紹最新的防護技術。

2020

趨勢科技執行長暨共同創辦人陳怡樺表示:「想要掌握並遏止有特定組織在背後支持的縝密網路犯罪攻擊,最重要的關鍵就在於科技、資安與執法專家之間的協同合作。SIMDA 殭屍網路破獲行動再次突顯我們長久以來盡力與其他機關團體建立聯合陣線的主張,共同防止科技被用於不當用途。除此之外,我們也很榮幸能參與 INTERPOL World 2015 這場冠蓋雲集的歷史盛會,為建立一個更安全的資訊交換世界的理念而努力。身為資安威脅防禦專家,我們將繼續分享我們的知識和經驗來支援打擊網路犯罪的行動。」

SIMDA 破獲行動鏟除了一個感染超過 770,000 台電腦的大型全球「Botnet傀儡殭屍網路」。SIMDA 是一個能讓網路犯罪集團從遠端存取電腦的工具,可讓歹徒竊取銀行帳號密碼等個人資訊,而且還能安裝並散布其他惡意程式。所謂的殭屍網路,是一群感染惡意程式的電腦所組成的動態網路,可從遠端遙控並發動網路攻擊或散發垃圾郵件。要鏟除殭屍網路需要掌握精密的技術和時機,才能確保威脅不會擴散。除了趨勢科技和 INTERPOL 之外,共同參與這項聯合行動的還有 Microsoft 和 Kaspersky Labs。

Continue reading “趨勢科技協同 INTERPOL 國際刑警組織破獲SIMDA殭屍網路行動"

Shellshock 新式攻擊針對SMTP伺服器,台灣為存取惡意網站最多的國家

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功,就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己,這很有可能是潛伏在雷達之下而不被偵測的方法。

下圖描述了攻擊的週期。

 

圖一、SMTP攻擊圖解

 

  1. 攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
  2. 攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
  3. 當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時,內嵌的Shellshock惡意程式碼就會被執行,然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
  4. 攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動,如發動垃圾郵件攻擊活動。

 

可能有漏洞的郵件伺服器

趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。

  1. qmail郵件傳輸代理程式(MTA)

.qmail是控制電子郵件傳輸的UNIX設定檔,也負責去執行Bash shell指令。可以設定它去啟動程式,一旦它呼叫了Bash,攻擊就算成功了。(這攻擊需要qmail MTA上有效收件者具備.qmail檔,而且.qmail檔包含任意派遞程式)。

  1. 第四版前的exim MTA

第四版的exim開始,pipe_transport不會呼叫Shell來擴展變數和組合指令。

  1. 使用procmail的Postfix:Postfix MTA會調用procmail,一個郵件傳遞代理程式(MDA)。MDA被用來排序和過濾寄入的郵件。

Postfix沒有明顯的Shellshock漏洞。然而procmail(一種郵件傳遞代理程式)本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式,導致了可被攻擊的Shellshock漏洞。

注:Debian/Ubuntu的Postfix預設將procmail設在main.cfmailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。

 

攻擊分析

根據趨勢科技的分析,如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行,攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式:

  • hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
  • hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
  • hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

 

到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案,只是名稱不同。

圖2、「JST Perl IrcBot」下載的程式原始碼

 

「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制(C&C)IRC伺服器。殭屍程式會執行以下行為,危害受影響系統的安全:

  • 從網址下載檔案
  • 發送郵件
  • 掃描端口
  • 執行分散式拒斷服務(DDoS)攻擊
  • 執行Unix指令

這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。

圖3、存取惡意軟體網站最多的國家

Continue reading “Shellshock 新式攻擊針對SMTP伺服器,台灣為存取惡意網站最多的國家"

偽裝盜版軟體的ZeroAccess殭屍網路剷除行動,後續影響

在去年十二月,微軟和某些執法單位合作,宣布剷除了ZeroAccess的運作。然而,這也意外地影響到另一個著名的殭屍網路/傀儡網路 Botnet – TDSS。

hacker with hat

 TDSS和ZeroAccess

ZeroAccess是世上最著名的殭屍網路/傀儡網路 Botnet之一,其惡意軟體以Rootkit能力聞名。它通常會偽裝成盜版軟體,透過點對點網路(P2P)來下載。同樣地,TDSS也是以利用Rootkit技術來閃躲偵測而著稱,並且會散播其他惡意軟體,如假防毒軟體DNS變更木馬。這兩種殭屍網路都和點擊詐騙( clickjack)有關

趨勢科技之前的文章裡,我們提到特定的ZeroAccess變種如何導向到和TDSS相關的網址,顯示出這兩個殭屍網路共享了部分的命令與控制(C&C)基礎設施。由於我們在監控兩個殭屍網路之間的連結,因此發現ZeroAccess客戶感染和通訊數量在剷除行動後的第二天有顯著地下降。在這些感染ZeroAccess的系統裡,只有2.8%嘗試(但失敗了)跟其C&C伺服器進行通訊。

 

圖一、2013年11月到12月的ZeroAccess活動

Continue reading “偽裝盜版軟體的ZeroAccess殭屍網路剷除行動,後續影響"

“殭屍出沒,請注意!!”從交通系統等基礎建設被駭談起

作者:Christopher Budd

殭屍(步履蹣跚,會吃人肉的那種,不是出現在電腦上的那種)最近真是風靡一時。出現在電視影集和電視遊樂器上。甚至還有殭屍會在大街上散步。無論為什麼,殭屍都是我們現在喜歡用來嚇自己的有趣題材。

所以當人們想要作個有趣的惡作劇時,會選擇殭屍這題材也就毫不奇怪了。駭客入侵和遊戲間有些相似之處,我們最近也在殭屍上看到這一點。有人駭入交通號誌系統去警告司機「前有僵屍」。上禮拜,我們看到美國蒙大拿州大瀑布城的一家地方電視台 – KRTV的緊急警報系統被駭客入侵,送出警報給看電視新聞的居民:「死人從墳墓裡爬起來,開始攻擊活人。」

 

我們看這些故事時會邊笑邊分享,因為聽起來蠻聰明有趣的。但其中有危險的部分,這可不是開玩笑的。

關鍵基礎設施可能會被入侵

這些事件的重點是重要公共安全通訊基礎設施被入侵,然後被用在別的目的上。

我們都知道,當重要的公共安全通訊基礎設施被以「突擊(swatting)」的方式濫用時,可能會出現可怕的後果。突擊指的是人們用假的求助電話報警。結果讓全副武裝的特警隊(SWAT)衝進不知情而無辜的人家裡。雖然在這些事件裡沒有人被殺害,但那是因為有良好的訓練和運氣好。但事實上這系統已經受到破壞,將全副武裝的警隊送去他們認為有危險且可能需要使用致命武器的地方時,會讓別人的生命陷入危險中。

要認識到公路號誌和緊急警報系統被駭的風險,就必須專注在一個事實上,現在我們所看到的假消息都很有趣,同時荒謬而令人難以置信。我們會發現這是個笑話而不會採取行動。但如果這消息雖然是捏造的,但卻像是真的時,會發生什麼事呢?

Continue reading ““殭屍出沒,請注意!!”從交通系統等基礎建設被駭談起"

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

就在一波疑似某 Android 殭屍網路/傀儡網路 Botnet垃圾郵件(SPAM)的報導出現之後不久,趨勢科技就發現了 Android 平台Yahoo! App 程式的漏洞,此漏洞可讓駭客利用遭入侵的 Yahoo! 帳號散發垃圾郵件。

第一波透過 Android 殭屍網路散發的垃圾郵件?

近日趨勢科技發現了多個專門散發假藥品網站連結或網路釣魚(Phishing)網站連結的郵件。這一波垃圾郵件之所以特別,在於訊息的簽名部分有著「Sent from Yahoo! Mail on Android」(從 Android 上的 Yahoo! Mail 寄信) 的字樣,而且信件的 Message-ID 欄位數值為「androidMobile」。根據報導,其 IP 位址顯示這些訊息來自於開發中國家的網路業者。

某些專家依據這些證據猜測,這些垃圾郵件(SPAM)散發者可能利用了被植入惡意 App 程式的 Android 裝置。不過,Google 駁斥了垃圾郵件是從 Android 殭屍網路/傀儡網路 Botnet散發的說法,並宣稱歹徒應該是使用已感染的個人電腦,並在信件當中假冒行動裝置的特徵來試圖躲避電子郵件過濾機制。 

第一波透過 Android 殭屍網路散發的垃圾郵件?
第一波透過 Android 殭屍網路散發的垃圾郵件?

 

就在最近,有人提出了另一種可能的情況。某些資訊安全研究人員推論,歹徒可能利用Android 平台Yahoo! App 程式的漏洞來入侵行動裝置並散發垃圾郵件(SPAM)。

歹徒可能利用 Adroid 平台的 Yahoo! Mail App 程式漏洞來散發垃圾郵件

不論這些訊息是從何而來,網路駭客是有可能利用 Android 平台的 Yahoo! App 程式漏洞來入侵 Yahoo! Mail 帳號然後散發垃圾郵件。事實上,趨勢科技最近在 Android 上的Yahoo! 郵件用戶端上發現了一個漏洞,此漏洞可允許攻擊者取得使用者的 Yahoo! Mail cookie。此問題來自於 Yahoo! 郵件伺服器和 Android 平台 Yahoo! 郵件用戶端之間的通訊弱點。在取得這個 cookie 之後,駭客就能使用已遭入侵的 Yahoo! Mail 帳號來散發精心製作的信件。此外,上述漏洞還可讓駭客存取使用者的收件匣和信件。 Continue reading “「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件"

讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落

去年趨勢科技協助 FBI 破獲史上最大殭屍網路DNS Changer(域名系統綁架病毒)之後, FBI發現若是直接關掉駭客犯罪用伺服器,中毒的 50 多萬電腦將無法連上網路。因此美國政府設立了替代伺服器,讓尚未修復的電腦可以正常上網,。FBI原先預定在今年3月8日關閉替代伺服器,但美國聯邦法院要求繼續提供DNS服務,給感染電腦多一點緩衝時間處理,但礙於經費,FBI已決定美國時間7月9日關掉伺服器,屆時數十萬尚未清除病毒的中毒電腦就會連不上網路。

趨勢科技呼籲大家立即檢查是否感染DNS Changer,因為FBI即將於7月9日關閉服務遭感染電腦所使用的DNS伺服器,屆時未修復的設備將無法上網。至於為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?請<看這裡>

ROVE DIGITAL的起落

DNS Changer(域名系統綁架病毒)是由Rove Digital這個網路犯罪集團控制,Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

當某些網路犯罪份子只想賺快錢的時候,有些則有更長遠的目標。ROVE DIGITAL已經運作超過六年了。讓我們看看他們是怎麼開始,最後又怎麼結束的。

過去四年每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得
過去四年每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得

2002-2004 早期階段

ROVE DIGITAL的起落
ROVE DIGITAL的起落

惡意活動

出租伺服器給網路罪犯客戶,主要做為垃圾郵件僵屍網路的C&C伺服器,或是代管資料竊取木馬、釣魚網站和DNS Changer(域名系統綁架病毒)。

基礎架構

在紐約(PILOSOFT),洛杉磯(ATRIVO)和愛沙尼亞(ELION)的三個資料中心承租伺服器。

地理位置:愛沙尼亞        美國

業務模式:一開始是網域註冊商 Continue reading “讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落"

《上網時間倒數中》FBI稱 57 萬電腦被駭,感染 DNS Changer 電腦, 7月 9 日後無法上網,即刻檢查!!~為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?

7 月 9 日後,您還能繼續上網嗎 ? 趨勢科技提供讓您對電腦進行自我檢驗步驟,立即檢查

 去年趨勢科技協助 FBI 破獲史上最大殭屍網路DNS Changer(域名系統綁架病毒)之後, FBI發現若是直接關掉駭客犯罪用伺服器,中毒的 50 多萬電腦將無法連上網路。因此美國政府設立了替代伺服器,讓尚未修復的電腦可以正常上網,。FBI原先預定在今年3月8日關閉替代伺服器,但美國聯邦法院要求繼續提供DNS服務,給感染電腦多一點緩衝時間處理,但礙於經費,FBI已決定美國時間7月9日關掉伺服器,屆時數十萬尚未清除病毒的中毒電腦就會連不上網路。

趨勢科技呼籲大家立即檢查是否感染DNS Changer,因為FBI即將於7月9日關閉服務遭感染電腦所使用的DNS伺服器,屆時未修復的設備將無法上網。
✔即刻免費下載PC-cillin 2012掃瞄系統,清除電腦上感染的 DNS 竄改木馬程式

為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?

犯罪史追朔到2007年DNS Changer(域名系統綁架病毒) 除了讓你無法連上網際網路之外,網路犯罪者還可能利用(域名系統綁架病毒)側錄鍵盤輸入,或者將受害電腦當做代理器 (proxy) ,將別的使用者導向假冒的網路銀行或社交網站。因此,歹徒可藉此竊取您和他人的網路銀行與社交網路密碼。

DNS Changer(域名系統綁架病毒)是由Rove Digital這個網路犯罪集團控制,Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。 

賺進數百萬美金黑心錢的Rove Digital駭客集團的 "CEO",這名駭人不淺首腦已經被逮捕
賺進數百萬美金黑心錢的Rove Digital駭客集團的 "CEO",這名駭人不淺首腦已經被逮捕

每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制著數以百萬計中毒殭屍電腦,獲取數百萬美金的不法所得。

這個網路犯罪集團控制了每一個環節,從植入木馬到透過中毒的傀儡殭屍電腦來賺錢。它是一間愛沙尼亞的公司,稱為Rove DigitalRove Digital是許多其他公司(像是Esthost、Estdomains、Cernel,UkrTelegroup和許多較無人知的空殼公司)的母公司。

Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

Rove Digital 已在 2011 年 11 月 8 日遭到破獲,該公司最為人所知的惡行就是散播 DNS 竄改木馬程式來協助其從事其他不法行動。駭客在四年內利用廣告詐欺獲利超過1400萬美元。若要了解 Rove Digital 的網路犯罪歷史,請參閱趨勢科技 TrendLabs 的圖文解說: 「The Rise and Fall of Rove Digital」。

 

認識DNS(Domain Name System)伺服器與 DNS Changer 的偷天換日

IP地址就像是我們寄信的地址一樣,沒寫地址郵差先生沒法把信送給收件人。網路上的每台主機都有唯一的IP地址,電腦的位址不是用文字而是用四個數字表示。如xxx.xxx.xxx.xxx。但是一般人無法記住這些數字,這時DNS(Domain Name System)伺服器就發揮作用了。DNS伺服器能將易讀好記的網域名稱解析成IP位址。大部分網路使用者都會自動使用網路服務業者的DNS伺服器。

當你在網址列輸入像www.trendmicro.com.twwww.pccillin.com.tw的網址時,其實會先連到DNS(Domain Name System)域名系統,找出該網站對應的數字IP 位址,才能連上該網站。

DNS Changer(域名系統綁架病毒)會把你的DNS連線偷偷換掉, 使用惡意人士所設立DNS伺服器,用來將特定的網域解析成惡意網站的IP位址。因此,受害者會在不自覺的情況下被導到惡意網站。犯罪集團可以透過很多方法來賺黑心錢,包括更換受害者所訪問的網站廣告,劫持搜尋結果或是植入其他惡意軟體,如假防毒軟體等。

 

◎ 【7月9日後您的網路還能正常連線嗎?】 FBI稱全球約 57萬台電腦被駭, 7月9 後,中毒電腦不能上網!!7月9日後您的網路還能正常連線嗎?
FBI稱全球約 57萬台電腦被駭, 7月9 後,中毒電腦不能上網!!

遭 Ghost Click DNS 竄改程式伺服器關閉倒數計時中搶救您電腦上網功能的黃金時間正一點一滴流失…
立即檢查

 

立即免費下載趨勢科技的PC-cillin 2012來掃瞄系統。清除您電腦上感染的 DNS 竄改木馬程式。

@延伸閱讀:
讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落

Continue reading “《上網時間倒數中》FBI稱 57 萬電腦被駭,感染 DNS Changer 電腦, 7月 9 日後無法上網,即刻檢查!!~為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?"

《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭

 

最近幾個月以來,歐洲的網路使用者深受所謂的警察木馬這種 勒索軟體 Ransomware所擾,它會鎖住使用者的電腦,直到他們付出100歐元的罰款。是的,罰款,它偽裝當地警察來威脅受害者。這種恐嚇手法似乎很有效,因為歐洲國家感染這類木馬的受害者一直沒少過。

《勒索軟體 Ransomware》警察木馬的深入分析

趨勢科技更加深入的研究了這個木馬的運作模式和其幕後黑手用來控制和接收付款的網路架構。我們發現它跟其他的惡意軟體攻擊活動關係密切,可以追溯到2010年,從 Zeus CARBERP到相當近期被稱為Gamarue蠕蟲的新惡意軟體攻擊。

這個木馬的幕後黑手同時也跟其他惡意軟體有關,同時也在這個生意上投資了不少。舉例來說,趨勢科技發現他們是DNSChanger木馬的分支單位,稱為Nelicash,Rove Digital也曾經贊助過幾年。而Rove Digital背後的主要人士在2011年11月8日經過美國聯邦調查局、美國航空總署監察長辦公室、愛沙尼亞警方和趨勢科技以及其他合作夥伴兩年的調查之後被加以逮捕了。所以我們可能也發現了警察木馬幕後黑手的重要線索。

這些犯罪份子都很專業,而且也會繼續活動下去,因為這對他們來說很有錢途。這是一個很好的例子讓我們可以看到這些組織如何去跟無辜的網友來勒索錢。趨勢科技已經為這個木馬和幕後集團製作了一份內容詳盡的報告,你可以下載來全面了解這個犯罪組織。

 

@原文出處:
Trojan on the Loose: An In-Depth Analysis of Police Trojan作者:David Sancho(資深威脅研究員)

 

@延伸閱讀:

趨勢科技協助FBI 破獲史上最大的網路犯罪始末

假冒執法警察的勒索攻擊持續蔓延在歐洲

聖誕快樂!ZeuS

 Zeus 2.0.8.9 版與幽靈版控制台

 手機板ZeuS 全面行動中

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

僵屍網路CARBERP攻陷結果報告

[延伸閱讀:從感染到付款:這份圖文解說告訴您勒索程式如何運作 (From infection to payment procedures, see how ransomware works in this infographic)]
ransomware 101

 

◎ 歡迎加入趨勢科技社群網站