「資訊隱藏術」利用影像檔竊取金融個資 用戶務必謹慎
趨勢科技發現一個利用將設定檔案隱藏在影像當中的惡意程式。儘管這項技巧看來神奇,但這早已不是什麼新聞,趨勢科技之前就報導過使用相同技巧的鎖定目標攻擊(APT目標攻擊使用JPEG檔案)。
當受害者不小心瀏覽到惡意網站,這個 ZBOT 間諜軟體 (TSPY_ZBOT.TFZAH) 會在使用者背後偷偷下載一個 JPEG 檔案到已感染的電腦。使用者甚至不會發現這個影像,就算有人剛好看到這個檔案,也會覺得它只是一張普通照片。趨勢科技發現的是一張日落的照片,其他資訊安全研究人員則曾經見過一張貓的照片。(以下這張照片似乎是取自熱門相片分享網站,因為搜尋「sunset (日落)」這個字就能看到該圖出現在這類網站上。)
歹徒利用圖像隱碼術(steganography)將它所監控的金融機構名單暗藏在影像當中。名單上的金融機構遍布全球。一旦使用者造訪清單中的任何一個網站,惡意程式就會竊取使者的資訊,例如登入帳號和密碼。
受歡迎的訊息應用程式WhatsApp最近又上了頭條,因為它被Facebook以天價160億美元進行收購。網路犯罪份子並沒有浪費時間的去利用此一熱門新聞:幾乎就在正式宣布後不到一個星期,趨勢科技就看到了一波垃圾郵件(SPAM)攻擊宣稱有這款熱門行動應用程式的桌面版在進行測試。
趨勢科技發現了一個垃圾郵件(SPAM)樣本,內容關於Facebook收購了 WhatsApp,並且提到有Windows和Mac版的WhatsApp可以提供給使用者。該郵件還提供了此版本的下載連結,它被偵測為TROJ_BANLOAD.YZV,常見被用來下載銀行惡意軟體。(此行為不管是在個人電腦或行動設備上都一樣。 )
大致的情況如下;TSPY_BANKER.YZV被下載到系統內。此一銀行惡意軟體變種會取得系統內儲存的使用者名稱和密碼,這讓受影響系統上使用過的網路帳號陷入安全風險。
雖然這起垃圾郵件攻擊的數量比較少,但還在不停地增加中。根據趨勢科技獲得的垃圾郵件來源回報說,此次攻擊的樣本佔了這特定來源所看到全部郵件的高達3%,這顯示出了潛在的垃圾郵件爆發。
趨勢科技強烈建議使用者要小心此次或類似的郵件;WhatsApp目前並沒有Windows或Mac版軟體,因此,所有宣稱有此版本的郵件都可以視為詐騙。趨勢科技透過偵測惡意軟體和垃圾郵件,以及封鎖相關網站來保護使用者,免於此垃圾郵件攻擊。
@原文出處:WhatsApp Desktop Client Doesn’t Exist, Used in Spam Attack Anyway作者:Michael Casayuran(垃圾郵件研究工程師)
網路犯罪份子之前就利用過RTF(Rich Text Format)檔案,不過看來最近他們又更有創意的去利用這個格式。
趨勢科技之前談論過CPL檔案如何被嵌入到RTF文件,並且以附件檔的方式傳送給目標受害者。這些CPL檔案接著會下載惡意檔案並執行在受影響的系統上。
早期樣本裡的指示使用的是葡萄牙文,不過現在較新的樣本則是使用德文:
圖一、德文的RTF文件
總的來說,所用的手法還是一樣 – RTF檔案內含一個嵌入的「收據」,並指示使用者去打開這份收據。打開該檔案會執行CPL惡意軟體,它會接著下載其他的惡意檔案。
圖二、RTF文件碼
在此案例裡,該網址已經無法存取,所以我們無法百分百地肯定接著會下載的是什麼。不過之前的案例使用過資料竊取程式,所以這次很有可能也是一樣。我們將這CPL惡意軟體變種偵測為TROJ_CHEPRTF.SM2 木馬病毒。
另一起案例也將惡意軟體嵌入RTF檔案,但這次的嵌入惡意軟體屬於ZBOT惡意軟體家族。這個ZBOT變種被偵測為TSPY_ZBOT.KVV 木馬病毒,它會竊取使用者名稱和密碼,像是電子郵件、FTP和網路銀行。
這些事件強調了網路犯罪技術一直在提升。RTF文件可能已經被用在許多案例之中,只是使用者並不知道RTF檔案可以被用來散播惡意軟體。即使他們知道,他們也未必能夠很容易地確認哪些檔案是惡意的,而哪些不是。
此外,使用RTF檔案來散播ZBOT並不尋常,因為它通常是透過其他的方式(如下載程式、惡意網站或垃圾郵件)散播。這顯示出網路犯罪份子是如何地願意接受新方法來達到自己的目的。
趨勢科技強烈建議使用者在打開電子郵件和附件檔時要小心謹慎。在可以確認之前,絕對不要下載並打開附件檔。企業應該在網路上部署郵件掃描解決方案,並啟動對電子郵件的掃描。
趨勢科技主動式雲端截毒服務 Smart Protection Network可以透過封鎖所有相關惡意網址並防止惡意檔案被下載或執行來保護使用者。
@原文出處:More Malware Embedded in RTFs作者:Jeffrey Bernardino(威脅研究員)
loveme、kissme、抓我、試試看
圖片來自dprotz,透過創用授權使用
最近美國聯邦調查局(FBI)發表一份新聞稿關於對Aleksandr Andreevich Panin(一名俄國人,更為人所知的名稱是「Gribodemon」或「Harderman」,在網路上跟惡名昭彰的SyEye銀行木馬連結在一起)和Hamza Bendelladj(一名突尼西亞人,網路綽號為「Bx1」)所進行的法律行動。Panin已經為進行線上銀行詐騙的指控認罪,而針對Bendelladj的控訴還在進行中。美國聯邦調查局的新聞稿裡也感謝趨勢科技的前瞻性威脅研究(FTR)團隊協助此次調查。
Bendelladj被指稱經營至少一個 SpyEye 的命令和控制伺服器,雖然我們的TrendLabs部落格和我們的調查已經明確指出他的參與還要更為深入。他在2013年1月5日在曼谷機場被逮捕,而Panin是在去年7月1日飛經亞特蘭大時被捕。
趨勢科技的前瞻性威脅研究團大概在四年前就開始對SpyEye的幕後黑手進行調查。在這段調查期間,我們描繪出支援該惡意軟體的基礎設施,確認該基礎設施的弱點,並找到若干重要線索指出這惡意銀行木馬背後的個人身份。當我們覺得已經有足夠的資訊時,我們和執法單位合作以達到今日你所見到的圓滿結果。
我們進行中的研究有著相當豐富的資料,許多因為法律行動還在進行中而不適合分享出來,但你可能會有興趣知道這些被告最常使用的密碼包括了「loveme」、「kissme」和「Danny000」。我讓你自己去想想有關安全實作的結論。
部分報導已經顯示ZeuS/ZBOT這隻惡名遠播的網路銀行惡意軟體現在開始將目標放在64位元的系統。根據趨勢科技的調查,已經證實了一些32位元的 ZBOT 樣本(偵測為TSPY_ZBOT.AAMV)確實有嵌入一個64位元版本(偵測為TSPY64_ZBOT.AANP)。然而,我們的調查也確認該惡意軟體其他一些值得注意的行為,包括它對安全軟體的閃躲技術。
下面是 TSPY_ZBOT.AAMV 擷取出程式碼的截圖,它會和64位元的 ZBOT 一起注入:
圖一、32位元的ZBOT截圖
檢查了這些程式碼,64位元版本可以被看作是惡意軟體文字區塊(可執行碼)的一部分。
圖二、被注入64位元ZBOT的截圖
就跟其他ZBOT變種一樣,TSPY_ZBOT.AAMV會將自己的程式碼注入到正常的程序explorer.exe裡。如果正在運行的程序是64位元的,惡意軟體會載入64位元版本的惡意軟體。如果不是,它會繼續執行32位元版本。
這 ZBOT 變種另一個值得注意的特點是它的 Tor 元件,可以用來隱藏惡意軟體和指揮與控制(C&C)伺服器間的通訊。該元件被嵌入在注入程式碼的底層,也有著32位元和64位元的版本。要啟動這個元件,惡意軟體先中斷svchost.exe程序,將Tor元件程式碼注入後再將程序恢復。經過這樣的動作,就可以隱藏Tor的執行。它用下列參數加以啟動:
“%System%\svchost.exe” –HiddenServiceDir “%APPDATA%\tor\hidden_service” –HiddenServicePort “1080 127.0.0.1:{random port 1}” –HiddenServicePort “5900 127.0.0.1: {random port 2}” 繼續閱讀