日逾8萬台電腦感染網銀病毒,破解雙重認證,非法轉帳

日本「東京警視廳」「網路犯罪對策課」日前表示，他們已經發現，約八萬兩千台電腦，感染了一種叫「VAWTRAK」新型病毒，會非法轉帳網路銀行存款。

為了加強網上銀行安全，不少銀行都會要求客戶根據手機，輸入只能使用一次的驗證碼。不過東京警視廳發現有駭客利用新型電腦病毒及釣魚網站，成功盜取受害者的驗證碼，將受害者的存款暗中轉帳到其他戶口。過去一年同類個案多達一千八百宗，涉及金額共二十九億日圓。

日本石川縣一名女子去年八月舉報她遭駭客盜取驗證碼，從戶口盜走九十六萬日圓。警方發現受害者的電腦感染VAWTRAK病毒，當登入網路銀行後，畫面出現要求輸入驗證碼的假網站，只要受害人輸入相關資料便中招，在受害人毫不知情的情況下非法轉帳。

日本警視廳表示，日本感染這種新型病毒的電腦，大約有四萬四千台。其餘分佈在歐美與亞洲等幾十個國家，日方已經透過「國際刑警組織」，向各國提供相關資訊。

以下是趨勢科技在今年初對該病毒所做的分析:

銀行木馬VAWTRAK利用惡意巨集及Windows PowerShell

趨勢科技在去年看到Windows的PowerShell命令列如何被惡意巨集下載程式用來散播ROVNIX。雖然在11月的攻擊並沒有直接的利用PowerShell功能，我們現在看到銀行木馬VAWTRAK濫用此Windows功能，同時也利用微軟Word內的惡意巨集。

銀行木馬VAWTRAK跟竊取網路銀行資料有關。被針對的銀行包括美國銀行、巴克萊銀行、花旗銀行、匯豐銀行、勞埃德銀行和摩根大通。過去也看過一些變種針對德國，英國，瑞士和日本的銀行。

通過「聯邦快遞」垃圾郵件到達

感染鏈開始於垃圾郵件。大多數和此感染相關的郵件都偽裝成來自聯邦快遞（FedEX）。這些假郵件通知收件者包裹寄達，還包含了送件號碼。

圖1、「聯邦快遞」垃圾郵件

趨勢科技看到另一封郵件來自假的美國航空（American Airlines）電子郵件地址，它通知收件者信用卡已經被用來處理交易。附上的是Word格式的電子機票，裡面本應該要包含交易細節。

圖2、「美國航空」電子郵件

使用巨集和PowerShell

當收件者打開檔案後會先看到亂碼。檔案要求使用者啟用巨集，左上角的安全警告會帶領使用者去啟用該功能。

圖3、檔案啟用巨集前和後

一旦巨集被啟用，會植入一個批次檔到受影響系統中，還包括一個VBS檔案和一個PowerShell腳本。該批次檔被設計用來執行VBS檔，然後提示執行PowerShell檔案。PowerShell檔案最終會下載VAWTRAK變種（偵測為BKDR_VAWTRAK.DOKR）。

圖4、連到特定網址下載VAWTRAK

使用三個元件（批次檔、VBScript和Windows PowerShell檔）可能是種躲避偵測的手段。VBS檔具備「-ExecutionPolicy bypass」旗標來繞過受影響系統的執行政策。這些政策往往被許多管理者視為「安全」功能。它們不會允許腳本執行，除非符合政策要求。當使用「-ExecutionPolicy bypass」後，「不會封鎖任何事情，而且沒有警告或提示」。這意味著惡意軟體感染鏈可以被進行而沒有任何安全性封鎖。

VAWTRAK惡意行為

一旦BKDR_VAWTRAK.DOKR進入電腦，它會從不同來源竊取資料。例如，它會從郵件服務（如微軟Outlook和Windows Mail）竊取電子郵件登入憑證。它也會試圖從不同瀏覽器（包括Google Chrome和Mozilla Firefox）竊取資料。它還會從檔案傳輸軟體或檔案管理軟體像是FileZilla竊取帳號資訊。

此外，BKDR_VAWTRAK.DOKR可以繞過像一次性密碼（OTP）的雙因子身份認證，也具備像自動化轉帳系統（ATS）等功能。

VAWTRAK惡意軟體的SSL繞過和ATS能力取決於它接收到的設定檔。設定檔包含了用於ATS和SSL的腳本，該腳本會被注入到瀏覽器。惡意腳本可能根據目標網站而不同。SSL繞過和ATS腳本就像注入到客戶端瀏覽器的自動化腳本。這將製造出受害者電腦上的交易已經完成的印象，減少對惡意軟體的懷疑。

它也會透過像擷取、截圖和網站注入等方法來竊取資料。被針對的網站包括亞馬遜、Facebook、Farmville，Google、Gmail、雅虎信箱和Twitter。

VAWTRAK，新與舊

使用帶有惡意巨集Word文件檔，這跟之前已知的VAWTRAK抵達方式不同。 VAWTRAK變種之前是漏洞攻擊帶來的惡意軟體；有些VAWTRAK感染是Angler漏洞攻擊包感染鍊的一部分。使用巨集的行為跟其它資料竊取惡意軟體類似，尤其是ROVNIX和DRIDEX。

我們看到另一個明顯的變化是惡意軟體所使用的路徑和檔案名稱。VAWTRAK變種之前使用以下路徑和檔案名稱：

%All Users Profile%\Application Data\{random file name}.dat

%Program Data%\{random file name}.dat

它們之後改變成

%All Users Profile%\Application Data\{random folder name}\{random filename}.{random file extension}

%Program Data%\{random folder name}\{random filename}.{random file extension}

路徑和檔案名稱的變化也可能對安全性造成影響，如果系統依賴於行為規則來進行偵測。假如它們偵測VAWTRAK的規則是尋找%All Users Profile%\Application Data和%Program Data%目錄內的DAT副檔名，就需要加以更新才能捉到這些VAWTRAK樣本。

利用巨集躲避偵測

VAWTRAK是最新利用巨集進行攻擊的惡意軟體家族。巨集曾在十幾年前流行過，但很快就消失不見。此一特定VAWTRAK變種利用密碼保護巨集，使得分析這惡意軟體變得更加困難，因為沒有密碼或特殊工具就無法檢視或打開巨集。

受影響國家

趨勢科技從2014年11月開始就一直在監控這一波新的VAWTRAK感染。在受影響國家中，美國的感染數量最多，其次是日本。之前來自趨勢科技主動式雲端截毒服務 Smart Protection Network的資料顯示大多數VAWTRAK感染發現在日本。

圖5、受此新VAWTRAK變種影響的前十名國家

結論

自從VAWTRAK在2013年8月第一次被發現假冒成送件通知的附件檔以來，已經有過一些顯著的改進。再加上連續使用了惡意巨集和Windows PowerShell，網路犯罪分子已經製造出進行資料竊取的理想工具。趨勢科技的主動式雲端截毒技術可以保護使用者免於此威脅，封鎖所有相關的惡意檔案、網址和垃圾郵件。也建議使用者要能夠分辨假冒和正常的電子郵件，比方說此案例中真正的電子機票或收據跟假冒的不同。

相關雜湊值：