銀行木馬 - 資安趨勢部落格

2019年最活躍的銀行木馬:Trickbot更新密碼擷取模組,鎖定更多應用程式和服務

2019 年 12 月 20 日2019 年 12 月 18 日趨勢科技 TrendMicro

Trickbot一直都是2019年最活躍的銀行木馬之一。這隻惡意軟體持續地透過新模組或更新來不停改進自己，而且背後的開發者也一直在尋找新目標。來自Security Intelligence的研究人員報告了Trickbot在日本的活動程度突然大增，趨勢科技研究人員也發現它更新了密碼擷取（pwgrab）模組，同時可能改用 Emotet 病毒散播 Trickbot。

之前的 Trickbot報告提到會入侵服務或平台來從瀏覽器、Outlook、WinSCP 和Filezilla收集登入憑證。趨勢科技報告發現它的pwgrab模組增加了竊取遠端存取軟體登入憑證的功能，如遠端桌面協定（RDP）、VNC 和 PuTTY平台。最新變種（趨勢科技偵測為TrojanSpy.Win32.TRICKBOT.TIGOCER）將目標放到了TeamViewer、OpenSSH、OpenVPN、Git、KeePass密碼管理器、SSH私鑰檔案、SSL憑證檔案和比特幣錢包檔案等大量登入憑證。

繼續閱讀

惡名昭彰 Emotet 銀行木馬,偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊

2019 年 10 月 03 日2019 年 10 月 03 日趨勢科技 TrendMicro

Emotet銀行木馬（趨勢科技偵測為TrojanSpy.Win32.EMOTET.THIBEAI）最近又再次浮出水面，而且還利用了前美國中央情報局職員愛德華·史諾登（Edward Snowden, 前美國中央情報局職員，美國國家安全局外包技術員）的熱門回憶錄來快速地擴大戰線。

這波攻擊背後的惡意份子會寄送與該回憶錄同名的 Word 附件「Permanent Record ( 永久檔案）」，誘騙受害者打開夾帶Emotet病毒的惡意文件。

根據安全研究人員的說法，一旦受害者開啟文件，就會跳出假訊息來要求啟用Microsoft Word。點擊啟用按鈕後，惡意巨集就會在背景執行。接著它會觸發一個PowerShell命令來連上一個被入侵的WordPress網站。再將Emotet及其他惡意軟體（如Trickbot）下載到受害者的電腦上，同時連到命令與控制（C&C）伺服器。

Emotet銀行惡意軟體，會監聽網路活動竊取資料

在2014年，趨勢科技發現Emotet是種銀行惡意軟體，它會監聽網路活動來竊取資料。它已經演進了好幾年。Emotet會利用自己的垃圾郵件模組來散播到全世界不同的產業和地區，並且還會利用沙箱及分析躲避技術。

繼續閱讀

間諜軟體 Trickbot 變種再進化,多了應用程式帳密擷取功能

2019 年 02 月 15 日2019 年 02 月 14 日趨勢科技 TrendMicro

趨勢科技在2018年11月發現一隻帶有密碼擷取模組的Trickbot變種，它能夠從許多應用程式中竊取帳密。在2019年1月，我們看到加入了新功能的Trickbot（偵測為TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD）。這作者很顯然地持續在更新Trickbot，我們最近發現一隻新變種會使用新版本的pwgrab模組來擷取遠端應用程式的帳密。

感染鏈

圖1、惡意軟體的感染鏈

偽裝成金融服務公司的租稅獎勵通知信, 夾帶惡意Excel附件

惡意軟體會夾帶在偽裝成金融服務公司的租稅獎勵通知內出現。這封郵件內包含帶有巨集（XLSM）的Microsoft Excel附件檔（偵測為Trojan.W97M.MERETAM.A），聲稱裡面是租稅獎勵的詳細資料。不過就如同這類附件檔常做的一樣，這是個惡意巨集文件，一旦啟用就會下載和部署Trickbot到使用者的電腦。

圖2、包含惡意巨集附件檔的垃圾郵件。

繼續閱讀

起死回生的Emotet銀行木馬程式,在全球建立了721個非重複的 C&C 伺服器

2018 年 11 月 28 日2018 年 12 月 27 日趨勢科技 TrendMicro

曾由趨勢科技在 2014 年所發現的「Emotet」銀行木馬程式，去年已經正起死回生，並推出自家的垃圾郵件模組來散布該程式，開始攻擊一些新的產業和地區，甚至能躲避沙盒模擬與惡意程式分析技巧。今年，我們進一步分析了 Emotet 的活動來了解這個模組化惡意程式的惡意行為。我們針對 Emotet 的相關威脅樣本進行了一番徹底的研究，包括 2018 年 6 月 1 日至 11 月 15 日這段期間所蒐集到的相關威脅樣本：8,528 個非重複網址、5,849 個文件植入程式以及 571 個執行檔，並發現了 Emotet 的幕後基礎架構以及可能的犯罪集團資訊。

》延伸閱讀: 假冒銀行轉帳通知耍詐!!銀行惡意軟體會利用網路監聽來竊取資料

以下是幾項重要的研發現：

至少有兩組並行的基礎架構在背後支撐 Emotet 的殭屍網路
當我們將該惡意程式的幕後操縱 (C&C) 伺服器和 RSA 金鑰進行分類之後就能清出看出兩組不同的基礎架構。此外我們也發現歹徒每個月都換更換一次 RSA 金鑰。而不同基礎架構所推送的下一階段惡意程式在用途和攻擊目標上並無重大差異，因此分開兩組基礎架構的用意應該只是為了讓 Emotet 更不容易被追查，同時也提供容錯備援的能力。
Emotet 的相關樣本可能是經由多個分層負責的不同單位所製作
從活動模式不一致的情況可以看出，負責製作及散布文件植入程式的幕後單位，似乎與負責壓縮及部署 Emotet 執行檔的單位不同。文件植入程式在非上班時間 (UTC 時間凌晨 1:00 至 6:00) 會停止製作。此時很可能有三組不同的電腦正在壓縮及部署 Emotet 的執行檔，其中兩組的系統時區可能分別設定在 UTC +0 以及 UTC +7。
Emotet 惡意程式的作者很可能住在 UTC+10 或者更往東邊一點的時區內
當我們根據每個執行檔樣本所解壓縮出來的惡意程式組譯時間戳記來將這些執行檔分類時，我們可歸納出兩個樣本群組，其組譯時間戳記與惡意程式首次在外發現的時間一致。這原因很可能是組譯時間戳記使用的是惡意程式作者的電腦當地時間。如果這些當地時間正確無誤的話，那就可推論出惡意程式作者很可能住在 UTC +10 或更往東邊一點的時區內。

繼續閱讀

垃圾郵件攻擊鎖定日本，使用圖像隱碼術散布 BEBLOH 金融木馬程式

2018 年 11 月 15 日2018 年 12 月 19 日趨勢科技 TrendMicro

趨勢科技發現一波垃圾郵件攻擊，使用 BEBLOH 金融木馬程式來鎖定使用者，我們偵測到的 185,902 封垃圾郵件，其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動，非常類似於近期的垃圾郵件攻擊中，濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。

我們分析部分垃圾郵件後發現，BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示，同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導，這次攻擊行動是由 NARWHAL SPIDER 發動，使用了圖像隱碼術，把惡意代碼隱藏在意想不到的圖像媒體中，藉此躲避特徵碼比對偵測。

【延伸閱讀】:圖像隱碼術(Steganography)與惡意程式：原理和方法

圖 1：垃圾郵件攻擊行動感染鏈

繼續閱讀