12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法

你在擁擠的馬路上行走時會小心扒手,那在網路呢?

網路銀行提供了許多便利性,也帶給詐騙份子可乘之機,為了避免Google的索引雷達,網路銀行扒手沒有註冊任何主機名稱/網域;他們假裝來自正常銀行的網路釣魚是用來獲取敏感資料;利用間諜軟體竊聽網路封包;甚至會試圖置換某些銀行的聯絡電話成攻擊者所控制的惡意號碼….

以下是一些攻擊者使用過並繼續讓許多網銀用戶存款人間蒸發的著名銀行木馬列表:

2006

ZBOT(又名ZeuS): 利用瀏覽器視窗標題或地址列網址來監視使用者的瀏覽狀況以觸發攻擊

ZBOT是公認最惡名昭彰的銀行木馬,它以建立木馬程式或惡意軟體工具包竊取銀行帳戶資訊著稱。它利用瀏覽器視窗標題或地址列網址來監視使用者的瀏覽狀況以觸發攻擊。變種會插入JavaScript 到正常的銀行網頁並透過 HTTP POST 到遠端網址來收集資訊。網路犯罪分子可能會用取得的資料來從受害者身上竊取金錢或到地下市場出售。此外,一旦電腦受到感染,它也會成為「Botnet傀儡殭屍網路」網路的一部分。

2011年,ZBOT的原始碼在檔案分享網站流傳,並且在地下論壇迅速地蔓延。在ZBOT問世後幾年,許多網路犯罪分子利用它的程式碼來建立具備類似功能的變種。ZBOT變種常會出現意想不到的行為,像是結合檔案感染型病毒,有些變種還會透過點擊付費(per-pay-click)模式收錢。

有些ZBOT變種會調整行為來躲避偵測,包括使用隨機標頭和不同副檔名,還會改變其加密方式。此外,它也加強其連到C&C伺服器的方法,像是使用Tor和點對點網路。

網路釣魚phishing2

2007

GOZI利用螢幕擷取和鍵盤側錄功能,取得登錄認證

GOZI銀行木馬是會監視網路流量的間諜軟體。利用其螢幕擷取和鍵盤記錄功能,它可以取得存在瀏覽器和郵件應用程式的登錄認證。GOZI利用Rootkit組件來隱藏相關進程、檔案和註冊表資訊。

在2015年9月,拉脫維亞的Deniss Calovskis在美國聯邦法院承認關於製造和散播網路銀行木馬GOZI的罪名。他在2015年2月從家鄉引渡到美國,Calovskis面臨60年以上的求刑,但認罪可能讓它大大縮短至10年再加上巨額罰款。  Continue reading “12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法”

日逾8萬台電腦感染網銀病毒,破解雙重認證,非法轉帳

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank日本「東京警視廳」「網路犯罪對策課」日前表示,他們已經發現,約八萬兩千台電腦,感染了一種叫「VAWTRAK」新型病毒,會非法轉帳網路銀行存款。

為了加強網上銀行安全,不少銀行都會要求客戶根據手機,輸入只能使用一次的驗證碼。不過東京警視廳發現有駭客利用新型電腦病毒及釣魚網站,成功盜取受害者的驗證碼,將受害者的存款暗中轉帳到其他戶口。過去一年同類個案多達一千八百宗,涉及金額共二十九億日圓。

日本石川縣一名女子去年八月舉報她遭駭客盜取驗證碼,從戶口盜走九十六萬日圓。警方發現受害者的電腦感染VAWTRAK病毒,當登入網路銀行後,畫面出現要求輸入驗證碼的假網站,只要受害人輸入相關資料便中招,在受害人毫不知情的情況下非法轉帳。

日本警視廳表示,日本感染這種新型病毒的電腦,大約有四萬四千台。其餘分佈在歐美與亞洲等幾十個國家,日方已經透過「國際刑警組織」,向各國提供相關資訊。

以下是趨勢科技在今年初對該病毒所做的分析:


 

銀行木馬VAWTRAK利用惡意巨集及Windows PowerShell

趨勢科技在去年看到Windows的PowerShell命令列如何被惡意巨集下載程式用來散播ROVNIX。雖然在11月的攻擊並沒有直接的利用PowerShell功能,我們現在看到銀行木馬VAWTRAK濫用此Windows功能,同時也利用微軟Word內的惡意巨集。

銀行木馬VAWTRAK跟竊取網路銀行資料有關。被針對的銀行包括美國銀行、巴克萊銀行、花旗銀行、匯豐銀行、勞埃德銀行和摩根大通。過去也看過一些變種針對德國,英國,瑞士和日本的銀行

通過「聯邦快遞」垃圾郵件到達

感染鏈開始於垃圾郵件。大多數和此感染相關的郵件都偽裝成來自聯邦快遞(FedEX)。這些假郵件通知收件者包裹寄達,還包含了送件號碼。

圖1、「聯邦快遞」垃圾郵件

Continue reading “日逾8萬台電腦感染網銀病毒,破解雙重認證,非法轉帳”

愈來愈多惡意軟體嵌入RTF檔案,會竊取帳密

網路犯罪份子之前就利用過RTF(Rich Text Format)檔案,不過看來最近他們又更有創意的去利用這個格式。

Trojan 木馬

趨勢科技之前談論過CPL檔案如何被嵌入到RTF文件,並且以附件檔的方式傳送給目標受害者。這些CPL檔案接著會下載惡意檔案並執行在受影響的系統上。

早期樣本裡的指示使用的是葡萄牙文,不過現在較新的樣本則是使用德文:

圖一、德文的RTF文件

 

總的來說,所用的手法還是一樣 – RTF檔案內含一個嵌入的「收據」,並指示使用者去打開這份收據。打開該檔案會執行CPL惡意軟體,它會接著下載其他的惡意檔案。

圖二、RTF文件碼

 

在此案例裡,該網址已經無法存取,所以我們無法百分百地肯定接著會下載的是什麼。不過之前的案例使用過資料竊取程式,所以這次很有可能也是一樣。我們將這CPL惡意軟體變種偵測為TROJ_CHEPRTF.SM2 木馬病毒。

另一起案例也將惡意軟體嵌入RTF檔案,但這次的嵌入惡意軟體屬於ZBOT惡意軟體家族。這個ZBOT變種被偵測為TSPY_ZBOT.KVV 木馬病毒,它會竊取使用者名稱和密碼,像是電子郵件、FTP和網路銀行。

這些事件強調了網路犯罪技術一直在提升。RTF文件可能已經被用在許多案例之中,只是使用者並不知道RTF檔案可以被用來散播惡意軟體。即使他們知道,他們也未必能夠很容易地確認哪些檔案是惡意的,而哪些不是。

此外,使用RTF檔案來散播ZBOT並不尋常,因為它通常是透過其他的方式(如下載程式、惡意網站或垃圾郵件)散播。這顯示出網路犯罪份子是如何地願意接受新方法來達到自己的目的。

趨勢科技強烈建議使用者在打開電子郵件和附件檔時要小心謹慎。在可以確認之前,絕對不要下載並打開附件檔。企業應該在網路上部署郵件掃描解決方案,並啟動對電子郵件的掃描。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以透過封鎖所有相關惡意網址並防止惡意檔案被下載或執行來保護使用者。

 

@原文出處:More Malware Embedded in RTFs作者:Jeffrey Bernardino(威脅研究員)

 

什麼是木馬(Trojan)?認識遠端存取木馬(RAT)

 為什麼到處都是木馬,我要如何阻止他們?

想要在網路上保持安全、不受傷害可能是個艱難的任務。網絡上有許多很棒的東西,不過同樣地,對初學者來說也可能是個地雷區,充斥著網路釣魚(Phishing)詐騙、垃圾郵件(SPAM)和惡意軟體。

在資訊安全產業中,我們可能難以避免地去使用一些難懂的術語。你可能已經在一些新聞報導裡聽過木馬程式,如果他們詳細的介紹網路攻擊。因此,讓我們用白話來介紹,來看看最常見的威脅之一:木馬(Trojan)。

所以它跟蠕蟲(Worm)一樣嗎?或病毒(Virus)?嗯,不完全是

他們都是惡意軟體的一種,或說是惡意程式。但是和病毒或蠕蟲不同,木馬並不進行自我複製。簡單的說,它們是偽裝成無害軟體的惡意程式,這個詞源自於經典的特洛伊戰爭故事,一群希臘士兵藏在一個巨大的木馬以進入特洛伊城,然後跳出來大肆攻擊敵人。

而在電腦世界裡,木馬是種惡意軟體,透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後,惡意軟體就可以做各種壞事了。

 

什麼是遠端存取木馬(RAT)?

有些木馬程式被稱為遠端存取木馬(RAT),設計用來遠端操縱使用者的電腦,讓駭客可以完全控制。有些則可能有不同的目的,像是竊取個人資料,側錄鍵盤,甚至將受害者電腦作為殭屍網路/傀儡網路 Botnet的一部分。

 

P2P和社群媒體攻擊

不幸的是,木馬攻擊已經變得越來越普遍。在網路上就可以買到工具包,像是黑洞漏洞攻擊包(Blackhole Exploit Kit),讓壞蛋們只需要具備有限的技術能力,就可以幫他們把製造和發動惡意軟體最難的部份做掉。通常木馬會偽裝成看似正常的檔案夾帶在不請自來的電子郵件中,不然就是被隱藏在被入侵的一般網站上,或偽裝成一般檔案放在P2P網站,甚至潛伏在社群網站上的連結裡。

Continue reading “什麼是木馬(Trojan)?認識遠端存取木馬(RAT)”

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線,就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取,那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站 如 FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣,網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具,內含了一個密碼還原程式,可有效蒐集使用者的登入帳號密碼,即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料,此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼,使用的是類似「PasswordFox」的工具。

過去,趨勢科技已發現多個專門竊取資料的惡意程式,包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似,但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊,然後儲存在一個名為 {電腦名稱}.txt  的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式,PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料,這是一個專為 FireFox 瀏覽器設計的程式,叫做「PasswordFox」。

 

PASSTEAL 一旦蒐集到資料,就會執行命令列指令程式的「/sxml」選項,將竊取到的帳號密碼儲存成 .XML 檔案,然後再將它轉成 .TXT 檔案。接著,PASSTEAL 會連線至遠端 FTP 伺服器,將蒐集到的資訊上傳。

事實上,此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括:FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行。 Continue reading “密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

最近似乎出現了一種新形態的資料竊取:趨勢科技發現了一個專門從感染裝置上竊取影像檔案的惡意程式TSPY_PIXSTEAL.A,此間諜木馬會將檔案傳送至某個遠端 FTP 伺服器。

TSPY_PIXSTEAL.A會開啟一個隱藏的指令列視窗,然後複製所有的 .JPG.JPEG.DMP 檔案。前二種檔案 (.JPG.JPEG) 是一般常用的影像格式,而 .DMP 檔案則是系統的記憶體傾印檔,內含某次系統當機時的記憶體內容。

下圖顯示 TSPY_PIXSTEAL.A 將感染電腦 C、D、E 磁碟上的影像檔案複製到 C:\ 。

APT 威脅攻擊
TSPY_PIXSTEAL.A 將感染電腦 C、D、E 磁碟上的影像檔案複製到 C:\
<apt 威脅/攻擊 >複製完成之後,木馬會連線至某個 FTP 伺服器,並且將前 20,000 個檔案上傳至該伺服器
複製完成之後,木馬會連線至某個 FTP 伺服器,並且將前 20,000 個檔案上傳至該伺服器

複製完成之後,它就會連線至某個 FTP 伺服器,並且將前 20,000 個檔案上傳至該伺服器。這樣的作法儘管看起來費力,但如果歹徒成功竊取到有用的資訊,其報酬將相當可觀。一直以來,資訊竊盜的形態大多侷限於文字,因此這個惡意程式對使用者來說,是一項新的風險。因為使用者通常也會用照片來保存資訊,不論是個人或工作相關資訊,這使得資訊外洩的風險變得很高。歹徒蒐集到的相片可用於身分詐騙、恐嚇,甚至用於未來鎖定目標攻擊,對鎖定機構展開APT進階持續性威脅 (Advanced Persistent Threat, APT)Continue reading “木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局”

有合法Adobe憑證的惡意工具

程式碼簽章可以讓使用者確認軟體並沒有被惡意篡改過。但如果有惡意程式會利用一個合法的數位憑證會怎樣?

 

9月底,Adobe公司發布通告警告使用者有惡意工具含有合法的Adobe數位憑證。根據這份通告,他們目前正在調查使用合法Adobe數位憑證的工具程式。想要立即解決這被誤用的問題,這家軟體廠商預計要在10月4日撤銷所有在2012年7月10日後簽章程式碼的數位憑證。

 

趨勢科技的研究人員已經收集並分析這些工具程式。我們將其偵測為:

 

 

根據我們的分析,HTKL_PWDUMP是一個已知的工具程式,會從檔案系統內的二進位檔案 – SAM和SYSTEM提取雜湊值,可能會在未經授權下取得Windows密碼。而TROJ_AGENT.MGSM則會將網頁伺服器上的流量重新導向。

 

被誤用的憑證成為有效的社交工程陷阱( Social Engineering)攻擊工具

 

被惡意軟體使用有效憑證的真正風險是攻擊者可以將它用在社交工程陷阱( Social Engineering)攻擊中。因為數位簽章是用來向使用者保證程式本身是合法而未經修改的,使用者很可能會誤信這些憑證而去執行惡意程式。被誤用的數位憑證也出現在一些目標攻擊中。你可能還會記得,針對伊朗和其他預定目標的FLAME攻擊所用的特定組件中,就被發現有用到微軟發出的憑證。

 

Adobe澄清說這問題不會影響到使用正版Adobe軟體的系統,目前也尚未對一般消費者造成安全問題。但是少數使用者,尤其是IT管理員,可能需要進行一些預防措施。要了解更多關於Adobe的行動和通告,可以參考Adobe的部落格文章

 

趨勢科技主動式雲端截毒服務  Smart Protection Network可以偵測並刪除這些工具程式,保護使用者免於此威脅。

 

 

@原文出處:Trend Micro Detects Reported Malicious Utilities with Adobe Certificates

作者:Gelo Abendan
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎即刻加入趨勢科技社群網站,精彩不漏網
 

美體操全能摘金「黑珍珠」Gabrielle Douglas,一摘冠即出現假Youtube 夾木馬惡意中傷

在倫敦奧運女子體操全能項目摘冠,一舉成名後16歲的「黑珍珠」Gabrielle Douglas也被病毒利用
一封以美國體操隊醜聞為誘餌的網路釣魚信件,正流傳,看到如下標題的信件,請立即刪除
標題:”Huge scandal with the USA Women’s Gymnastics Team on the 2012 London Olympics”


該信件指稱倫敦奧運女子體操全能項目金牌 Gabrielle Douglas,因為藥檢未通過將終身禁賽,該信件引導受害者到一個假 Youtube 頁面,並要求下載 Adobe Flash Player 最新版本, 其實這個名為 adobe-flashplayer-update.exe 檔案是木馬 TROJ_DLOAD.BTN
使用者一旦下載後,電腦將成為木馬 TROJ_DLOAD.BTN的宿主,該木馬程式將自動發送內含相同網址的email給電腦中所有的聯絡人,以達到大量散播的目的。除此之外,這個木馬程式也會自動連結到可能含有病毒或惡意程式的網址並下載其他惡意程式。

信件全文:

Recent Olympic gold medal winner, USA Women’s Gymnastics winner Gabrielle Douglas, faces a lifetime ban after reportedly testing positive to banned diuretic furosemide. With details of the case still emerging, British Olympics Committee has ordered a suspension of the athlete until final results arrive.

View the video on youtube now

美體操全能摘金「黑珍珠」Gabrielle Douglas傳醜聞,欲知詳情請看影片?!~木馬病毒散播的

Continue reading “美體操全能摘金「黑珍珠」Gabrielle Douglas,一摘冠即出現假Youtube 夾木馬惡意中傷”

什麼是特洛伊木馬病毒?何謂網頁掛馬?

特洛伊木馬病毒的由來

話說風流的特洛伊王子,在遇上美麗的有夫之婦希臘皇后後,竟無法自拔的將其誘拐回特洛伊國,此舉竟引發了為期十年的特洛依大戰。然而,這場歷經九年的大戰,為何在最後一年會竟終結在一隻木馬上呢?原來,眼見特洛伊城久攻不下,於是希臘人便特製了一匹巨大的木馬,打算來個『木馬屠城計』!希臘人在木馬中精心安排了一批視死如歸的勇士,藉故戰敗撤退,以便誘敵上勾。果然,被敵軍撤退喜訊給弄得神智不清的特洛伊人哪知是計,當晚便把木馬拉進城中,打算來個歡天喜地的慶功宴。哪知道,就在大家興高采烈喝酒歡慶之際,木馬中的精銳諸將,早已暗中打開城門,一舉來個裡應外合的大搶攻。頓時之間,一個美麗的城市就變成了一堆瓦礫、焦土,而從此消失在歷史中。

後來我們對於那些會將自己偽裝成某種應用程式來吸引使用者下載或執行,並進而破壞使用者電腦資料、造成使用者不便或竊取重要訊息的程式,我們便稱之為「特洛伊木馬型」或「特洛伊型」病毒。

特洛伊木馬病毒的行為模式

和一般電腦病毒最大的不同是,特洛伊木馬型病毒並不會自我繁殖,同時也不以感染其它檔案為主要的目的,取而代之的是採用更直接的方式進入使用者電腦,以伺機完成所希望達到的目的。既然特洛伊木馬型病毒不會自我繁殖,那麼病毒是如何能夠到達使用者的電腦中呢?特洛伊木馬型病毒通常會被設計成一個具有吸引力的外表,例如:工具程式、電動玩具等能夠吸引使用者從網路下載或是轉寄給親朋好友的檔案,病毒作者再將這樣的檔案上傳到各大FTP、BBS 或放在某個 Internet 上的 Home Page 中。所以一旦使用者不小心執行這類型的檔案之後,一個特洛伊木馬病毒就被『種』到電腦系統中了,至於病毒把自己『種』到電腦系統會做什麼事呢? 那就得看病毒作者如何來設計隻特洛伊病毒了。

什麼是網頁掛馬?

「網頁掛馬」又稱為網頁隱藏式惡意連結。簡單來說,其攻擊模式分成四個步驟:

1. 駭客攻擊企業、政府或知名網站,僅植入一段惡意連結而不竄改網頁外觀;或設立惡意網站,透過各種宣傳手法,吸引民眾瀏覽。

2. 使用者瀏覽該網站,由於駭客並未竄改網頁外觀,因此不會產生警覺。

3. 使用者看不到這個連結,也無須點選惡意連結,只要瀏覽該網站,就會背景導向連線至駭客預先設計好的陷阱。

4. 在不知情的狀況下,使用者被植入間諜軟體/木馬程式。