日逾8萬台電腦感染網銀病毒,破解雙重認證,非法轉帳

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank日本「東京警視廳」「網路犯罪對策課」日前表示,他們已經發現,約八萬兩千台電腦,感染了一種叫「VAWTRAK」新型病毒,會非法轉帳網路銀行存款。

為了加強網上銀行安全,不少銀行都會要求客戶根據手機,輸入只能使用一次的驗證碼。不過東京警視廳發現有駭客利用新型電腦病毒及釣魚網站,成功盜取受害者的驗證碼,將受害者的存款暗中轉帳到其他戶口。過去一年同類個案多達一千八百宗,涉及金額共二十九億日圓。

日本石川縣一名女子去年八月舉報她遭駭客盜取驗證碼,從戶口盜走九十六萬日圓。警方發現受害者的電腦感染VAWTRAK病毒,當登入網路銀行後,畫面出現要求輸入驗證碼的假網站,只要受害人輸入相關資料便中招,在受害人毫不知情的情況下非法轉帳。

日本警視廳表示,日本感染這種新型病毒的電腦,大約有四萬四千台。其餘分佈在歐美與亞洲等幾十個國家,日方已經透過「國際刑警組織」,向各國提供相關資訊。

以下是趨勢科技在今年初對該病毒所做的分析:


 

銀行木馬VAWTRAK利用惡意巨集及Windows PowerShell

趨勢科技在去年看到Windows的PowerShell命令列如何被惡意巨集下載程式用來散播ROVNIX。雖然在11月的攻擊並沒有直接的利用PowerShell功能,我們現在看到銀行木馬VAWTRAK濫用此Windows功能,同時也利用微軟Word內的惡意巨集。

銀行木馬VAWTRAK跟竊取網路銀行資料有關。被針對的銀行包括美國銀行、巴克萊銀行、花旗銀行、匯豐銀行、勞埃德銀行和摩根大通。過去也看過一些變種針對德國,英國,瑞士和日本的銀行

通過「聯邦快遞」垃圾郵件到達

感染鏈開始於垃圾郵件。大多數和此感染相關的郵件都偽裝成來自聯邦快遞(FedEX)。這些假郵件通知收件者包裹寄達,還包含了送件號碼。

圖1、「聯邦快遞」垃圾郵件

繼續閱讀

影響全球銀行的 CARBANAKAPT 目標攻擊

想想看,有一種APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊將目標放在金融利益上,而非典型地會去竊取企業內部的重要資料或機密數據,那你大概就知道CARBANAK是什麼了。根據新聞報導,一個後門程式攻擊了超過100家的銀行和金融機構。這起攻擊始於2013年,影響了全球的銀行。

什麼是CARBANAK

CARBANAK是目標放在銀行和金融機構的針對性攻擊活動相關的偵測名稱。根據報告,它所採用的方法和技術(如魚叉式網路釣魚(Phishing)和漏洞攻擊),都常見於針對性攻擊中。因此,攻擊者的確會對目標網路進行情報蒐集以加以滲透。就跟其他針對性攻擊一樣,他們也使用魚叉式釣魚郵件作為攻擊進入點。趨勢科技將其偵測為BKDR_CARBANAK.A。

誰是目標?

CARBANAK惡意軟體背後的攻擊者將目標放在各個國家的銀行和金融機構,像是俄羅斯、美國、烏克蘭及其他亞太地區國家。

惡意軟體如何進入網路?

CARBANAK背後的攻擊者會寄送魚叉式釣魚郵件給目標銀行的員工。該電子郵件的附件檔帶有已知或舊的漏洞攻擊碼,如CVE-2012-0158、CVE-2013-3906和CVE-2014-1761。一旦攻擊成功,就會執行shellcode以執行CARBANAK惡意軟體。而在其他的感染鏈中,使用者會收到CPL檔案,執行後也會帶來CARBANAK惡意軟體。 繼續閱讀

新的銀行木馬DYRE變種,會劫持微軟Outlook

銀行木馬 DYRE/Dyreza 惡意軟體帶著新感染技術回來了:現在它會利用微軟 Outlook 來散播惡名昭彰的 UPATRE 惡意軟體來針對更多的目標銀行。

Trojan 木馬

去年10月趨勢科技看到 CUTWAIL 垃圾郵件殭屍網路所產生的 UPATRE-DYRE惡意軟體感染高峰,其模式和 ZeuS變種GAMEOVER 所使用的散播技術類似。DYRE最近修改其設計和結構,改進了散播和躲避安全軟體等技術,也讓趨勢科技將它放入了2015年值得注意的惡意軟體觀察名單上。

新的 DYRE感染鏈

DYRE通常會UPATRE下載程式(偵測為TROJ_UPATRE.SMBG,透過垃圾郵件附加檔案抵達)來進入使用者的系統。

 

圖1、帶有UPATRE下載程式的垃圾郵件樣本

繼續閱讀

銀行木馬鎖定數家韓國銀行:利用Pinterest做為C&C頻道

趨勢科技最近發現一個新的銀行木馬針對了數家韓國銀行。這並非首例:在2013年六月,我們就看到數個網路銀行威脅擴大其活動範圍,並且利用各種技術鎖定韓國銀行。

 資料外洩 信用卡 信上購物 網路銀行 網路釣魚 Credict Card1

在監控類似威脅的過程中,我們注意到一波針對韓國銀行的新銀行木馬攻擊,包括會利用Pinterest作為指揮與控制(C&C)頻道。

透過惡意iframe注入來加以感染

此威脅目前的影響範圍是韓國使用者,會利用淪陷網站來導致漏洞攻擊包。在11月中,我們發現一次感染的感染鏈會牽涉到多個惡意網站。

為了將攻擊到使用者,惡意份子首先會淪陷正常網站並注入iframe。它會將使用者導到放置漏洞攻擊包的第二個淪陷網站,其會植入銀行木馬到使用者系統內。趨勢科技將其偵測為TSPY_BANKER.YYSI

一旦這惡意軟體出現在受影響系統上,使用IE瀏覽器連上特定銀行網站的使用者會被自動導到惡意網站。該網站包含了要求使用者輸入銀行認證資訊的網路釣魚(Phishing)網頁。使用其他瀏覽器連到網站的使用者則不受影響。(因為韓國法規要求,韓國使用者一般都會用IE瀏覽器來訪問本地銀行網站。)

圖一、比較真正的銀行網站與假冒的銀行網站 繼續閱讀

偽裝收據通知,垂涎比特幣和網路銀行

網路犯罪分子和威脅幕後黑手經常會利用測試過的漏洞來感染使用者系統,也藉此去穿透企業網路。這凸顯出修補系統和將軟體及應用程式保持在最新狀態的重要性。

比特幣bitcoin3

趨勢科技最近發現DYREZA惡意軟體利用了舊的Adobe Reader和Acrobat漏洞(CVE-2013-2729)。一旦成功地攻擊此漏洞,就可以在受影響系統上執行任意程式碼。

圖1-2、垃圾郵件截圖

DYREZA惡意軟體使用偽裝成收據通知的垃圾郵件作為感染媒介。它夾帶著惡意PDF檔案(被趨勢科技偵測為TROJ_PIDIEF.YYJU)。一旦執行,它會攻擊CVE-2013-2729漏洞,進而去下載TSPY_DYRE.EKW,一個DYREZA變種(也被稱為DYRE和DYRANGES)。

DYREZA是個以竊取銀行認證資訊聞名的惡意軟體,而且和包裹騾子詐騙有關。我們最近寫過一篇部落格文章詳述了此惡意軟體在威脅環境生態系中所扮演的角色和一些顯著的行為,包括其有能力透過瀏覽器注入來進行中間人(MITM)攻擊,監視目標銀行的網路銀行連線和竊取其他資訊,如瀏覽器版本、截圖和個人認證資訊。

使用者和企業都有危險,因為DYREZA可以透過瀏覽器截圖來取得其他類型的資料,像是個人識別資訊(PII)和認證資訊。此外,還有報告指出CUTWAIL殭屍網路會導致下載UPATRE和DYRE惡意軟體。

讓TSPY_DYRE.EKW值得注意的是其注入惡意程式碼到特定銀行和比特幣登入頁面來竊取重要資訊的能力。它所監視的一些比特幣網頁:

  • co.uk/*
  • co.uk/login*
  • com/*
  • com/merchant-login*
  • com/*
  • com/accounts/login*
  • bitstamp.net/*
  • bitstamp.net/account/login*

除了資料竊取的行為外,TSPY_DYRE.EKW可以連到某些惡意網站來收發資訊。此外,它可以連到特定STUN(NAT會話傳輸應用程式)伺服器來確認其感染電腦的公開IP位址。因此,網路犯罪分子可以找出惡意軟體的位置或判斷受影響使用者和組織的位置。出現最多受害者的國家包括了愛爾蘭、美國、加拿大、英國和荷蘭。

比特幣是一種具有真實世界價值的數位貨幣。網路犯罪分子常常會將目標放在比特幣上,因為它提供了一個可以產生利潤的新場所。雖然這並不是第一次詐騙分子及網路犯罪分子將目標放在比特幣上,這個新攻擊凸顯出傳統威脅(如漏洞和銀行惡意軟體)仍然是網路犯罪分子竊取使用者認證資訊和攻擊較新平台(比特幣)的常用手段。它也教了我們關於保持系統和軟體應用程式更新到最新版本的重要一課。

趨勢科技透過主動式雲端截毒服務  Smart Protection Network來保護使用者對抗此威脅,它會偵測垃圾郵件和所有相關惡意軟體。

@原文出處:Old Adobe Vulnerability Used in Dyreza Attack, Targets Bitcoin Sites作者:Rika Joi Gregorio(趨勢科技威脅回應工程師)