趨勢科技最近發現一個新的銀行木馬針對了數家韓國銀行。這並非首例:在2013年六月,我們就看到數個網路銀行威脅擴大其活動範圍,並且利用各種技術鎖定韓國銀行。
在監控類似威脅的過程中,我們注意到一波針對韓國銀行的新銀行木馬攻擊,包括會利用Pinterest作為指揮與控制(C&C)頻道。
透過惡意iframe注入來加以感染
此威脅目前的影響範圍是韓國使用者,會利用淪陷網站來導致漏洞攻擊包。在11月中,我們發現一次感染的感染鏈會牽涉到多個惡意網站。
為了將攻擊到使用者,惡意份子首先會淪陷正常網站並注入iframe。它會將使用者導到放置漏洞攻擊包的第二個淪陷網站,其會植入銀行木馬到使用者系統內。趨勢科技將其偵測為TSPY_BANKER.YYSI。
一旦這惡意軟體出現在受影響系統上,使用IE瀏覽器連上特定銀行網站的使用者會被自動導到惡意網站。該網站包含了要求使用者輸入銀行認證資訊的網路釣魚(Phishing)網頁。使用其他瀏覽器連到網站的使用者則不受影響。(因為韓國法規要求,韓國使用者一般都會用IE瀏覽器來訪問本地銀行網站。)
圖一、比較真正的銀行網站與假冒的銀行網站
以下是被資料竊賊針對的銀行網站列表:
- hxxp://kbstar.com
- hxxp://wooribank.com
- hxxp://banking.nonghyup.com
- hxxp://v3clinic.ahnlab.com
- hxxp://hanabank.com
- hxxp://mybank.ibk.co.kr
- hxxp://www.ibk.co.kr
- hxxp://banking.shinhan.com
- hxxp://www.fcsc.kr
如何做到重新導向?如果使用者連到上述網站,惡意軟體會讓IE瀏覽器載入會載入各種釣魚網頁的iframe。這個網址都各不相同,取決於原網站的網址。
該惡意軟體還會假造地址列內的網址,讓使用者相信自己位在真正的銀行網站。一旦輸入了個人資料,他們會被重新導到假的銀行網站。除了上述銀行外,一個受歡迎的韓國搜尋引擎也被進行類似的變造,會打開帶有受監視銀行連結的彈出視窗。
這個惡意軟體的指揮與控制(C&C)行為很有意思。它如何知道要將使用者導到哪個假網站?
這通常會透過連上C&C伺服器來做到,但在此案例中,攻擊者沒有這樣做。相反地,他們利用了社群網站Pinterest。網路犯罪分子利用特定Pinterest貼文的留言來定義受害者重新導到不同的假伺服器:
圖2、Pinterest貼文內的留言
我們可以看到上述留言包含了文字104A149B245C120D。其被解碼為104.149.245.120;同樣地,70A39B104C109D被解碼為70.39.104.109。字母被置換為”點”。這讓攻擊者可以迅速地變更伺服器位置以避免被偵測。
重複使用來自SweetOrange漏洞攻擊包的程式碼?
我們在前面提到有淪陷網站被用來放置漏洞攻擊碼並植入惡意軟體到使用者系統。
IE瀏覽器漏洞在這這些案例中被用來派送惡意軟體 – 特別是CVE-2013-2551和CVE-2014-0322。這兩個漏洞都早已被修補,前者是在2013年5月而後者是在2014年9月。Javascript混淆技術被重度使用來防止程式碼分析。但我們還是可以發現其漏洞攻擊碼跟我們今年早些時候討論過的SweetOrange漏洞攻擊包所用的類似。
在這個月,他們利用Gongda漏洞攻擊包來派送惡意軟體,但仍然將目標放在重導向自韓國網站的使用者。此攻擊用到了Windows的CVE-2014-6332漏洞,這到11月才被修補。
此外,我們也注意到被解譯出的漏洞攻擊碼內包含描述漏洞如何運作的中文註解。
圖3、漏洞程式碼內的中文註解
該惡意軟體還會連到各伺服器的此網頁 – hxxp://{各IP地址}:9000/tongji.html。 (tongji就是統計的羅馬拼音。)
網路犯罪份子還會用51yes.com(中國的網路分析/追蹤服務)來製作淪陷網站和C&C伺服器的統計數據。
下圖顯示整個攻擊情境。
圖4、攻擊情境概述
以下是和此攻擊相關的雜湊值:
- 1c0c82b6e53d6d2a6d7c1d2d0e3ccce2
- 6c8791edb12cdb08bee9c567a6d7904c
- bfb00d3f4b94542c5f1f3d1ce6718c7b
- c4e2c9006b9cbc70ede643f6ae623084
- e9d3661aaa4845464a08268e138ae8a4
@原文出處:Banking Trojan Targets South Korean Banks; Uses Pinterest as C&C Channel作者:Joseph C Chen(詐騙攻擊研究員)