詳解網路銀行木馬DYRE,第二部

在本系列文章的第一部中,我們討論了銀行惡意軟體DYRE的行為和進入點。然而,資料竊取並非此惡意軟體的最後一步。這惡意軟體還參與了另一項計畫 – 包裹騾子騙局

包裹和騾子

在我們分析DYR惡意軟體時,也發現了一個網頁控制台 – Global BlackPoint

圖1、Global BlackPoint網站

快速地進行線上搜尋,此網域已經出租一年多了。網站使用者可以購賣其所想要的東西。

圖2、待售物品

然而,研究和有關此網頁控制台內容的情報都指出一個事實,它被用作購買美國商品,再將其重新寄送到不同的地方。該網站在其使用條款內指明了這一點。 

圖3、使用條款

這些貨物交付給美國境內,再將其它們寄送到世界其他各地。這些人可能有著如「進出貨管理經理」或「物流專員」的頭銜,但實際上他們都是「騾子」。應徵 Craigslist之類網站上所張貼的職位,這些人被承諾給予每份包裹約50美元,每月約2,000美元的報酬。

這個精心設計的騙局有時稱為包裹騾子騙局或郵寄轉交騙局。不法份子從這些騙局獲利的方式是,他們用從銀行帳戶(來自銀行惡意軟體)偷來的錢購買商品,然後加以轉賣。騾子被聘請來將這些貨物走私出這個國家。雇用騾子也減少走私活動被追蹤到不法份子的可能性。這類詐騙已經有一段時間了,但人們還是會落入此類騙局的陷阱,因為感覺可以賺到快錢。

再追蹤各步驟

總之,我們有一個三步驟的威脅故事:

  • 一個可能的進入點是商業或銀行垃圾郵件。主要目的是讓更多人點擊惡意軟體元件,盡可能感染更多人。
  • 這些元件會繼續進行另一個惡意軟體感染,取得另一個元件。我們稱之為DYR,也被稱為DYREZA、DYRANGES或BATTDIL。這裡的目標是為了錢取得銀行認證資訊。
  • 一旦竊取了金錢,這些貨物交付給騾子,重新將這些貨物寄送到美國以外的地點。這種行動一般被稱為包裹騾子騙局或郵寄轉交騙局。

對策

對抗垃圾郵件和銀行惡意軟體:

  • 瞭解你銀行的政策。如果你收到電子郵件來自你沒有帳戶的銀行,就不要去讀它,立即刪除。你也可以撥打給就近的分行,如果你想要驗證詳細資訊。
    • 如果你透過瀏覽器來讀郵件(網頁郵件),試著確認信箱服務足夠可靠,並具備內建的反垃圾郵件和反網路釣魚功能。
    • 如果你透過電子郵件用戶端閱讀郵件,通常會預設開啟安全功能。使用它們來在你閱讀電子郵件時提供防護。
    • 建議使用帶有網頁信譽評比技術的防毒軟體來封鎖任何可疑連結和附件檔。
  • 全功能的防惡意軟體解決方案是對抗此類威脅的最佳工具。解決方案應該能夠基於特徵碼和行為來封鎖惡意檔案,並具備防火牆來過濾進出之連線。如果它可以提供用戶端工具(如垃圾郵件和網頁過濾)就更好了。基於雲端的解決方案也很完美,因為可以將防護保持在最新狀態。
  • 萬一不幸中毒了,最好盡早加以阻止。立即更改密碼和監控你的網路銀行交易。如果你發現任何可疑活動,立刻打電話給你的銀行。

防止包裹騾子詐騙:

  • 在家工作的差事當然是有,但如果聽起來好得太過不真實就往往是假的,先再三檢查。研究想招募你的公司總是非常重要的,即使在迫切需要時。
  • 了解關於包裹騾子詐騙。美國郵政檢查服務有個關於郵寄轉交騙局的網頁
  • 此類詐騙的受害者可以向網路犯罪投訴中心(IC3)報案,他們會處理網路犯罪受害者和第三方的投訴。

此系列中所討論的相關檔案雜湊值:

  • 4FD6C74EE50CA470869D8FAB1AB2C3D1C19E20CE
  • 145c82caa303bd141fd6069ab92fefdfac3568bc
  • e32ef7def60a8ccc0c051182f2103dbbfe6de625
  • B2CAF5A18279C1CB10DA174C581A7138FF8B0CF2
  • B9F3D4C1531F128AB032EA6D752BAB008EC59921

 

@原文出處:A Closer Look at DYRE Malware, Part 2