12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法

你在擁擠的馬路上行走時會小心扒手,那在網路呢?

網路銀行提供了許多便利性,也帶給詐騙份子可乘之機,為了避免Google的索引雷達,網路銀行扒手沒有註冊任何主機名稱/網域;他們假裝來自正常銀行的網路釣魚是用來獲取敏感資料;利用間諜軟體竊聽網路封包;甚至會試圖置換某些銀行的聯絡電話成攻擊者所控制的惡意號碼….

以下是一些攻擊者使用過並繼續讓許多網銀用戶存款人間蒸發的著名銀行木馬列表:

 

ZBOT(又名ZeuS): 監視使用者的瀏覽狀況以觸發攻擊

ZBOT是公認透過 HTTP POST 到遠端網址來收集資訊。網路犯罪分子可能會用取得的資料來從受害者身上竊取金錢或到地下市場出售。此外,一旦電腦受到感染,它也會成為「Botnet傀儡殭屍網路」網路的一部分。

2011年,ZBOT的原始碼在檔案分享網站流傳,並且在地下論壇迅速地蔓延。在ZBOT問世後幾年,許多網路犯罪分子利用它的程式碼來建立具備類似功能的變種。ZBOT變種常會出現意想不到的行為,像是結合檔案感染型病毒,有些變種還會透過點擊付費(per-pay-click)模式收錢。

有些ZBOT變種會調整行為來躲避偵測,包括使用隨機標頭和不同副檔名,還會改變其加密方式。此外,它也加強其連到C&C伺服器的方法,像是使用Tor和點對點網路。

 

GOZI利用螢幕擷取和鍵盤側錄功能,取得登錄認證

GOZI銀行木馬是會監視網路流量的間諜軟體。利用其螢幕擷取和鍵盤記錄功能,它可以取得存在瀏覽器和郵件應用程式的登錄認證。GOZI利用Rootkit組件來隱藏相關進程、檔案和註冊表資訊。

在2015年9月,拉脫維亞的Deniss Calovskis在美國聯邦法院承認關於製造和散播網路銀行木馬GOZI的罪名。他在2015年2月從家鄉引渡到美國,Calovskis面臨60年以上的求刑,但認罪可能讓它大大縮短至10年再加上巨額罰款。 

CARBERP 遠端存取感染電腦以監控網路銀行系統

CARBERP網路銀行木馬第一次出現是在2009年。它會掛鉤WININET.DLL的網路API來竊取使用者認證資訊,監視使用者瀏覽行為。CARBERP會記錄按鍵、偽造網站和將自己複製到不需要管理者權限的位置。它的特徵是會依賴外掛程式,因為它需要下載/嵌入模組來完成動作。

2012年,8個參與CARBERP運作的人被俄羅斯外交部逮捕。但在隔年,大大改善過的版本再加上行動版本變種捲土重來。它會下載新外掛程式來補足其資料竊取行為,能夠幫助潛在攻擊者遠端存取受感染電腦以監控網路銀行系統。

 


 

PCC2016_1Y3U_TW box

網路釣魚是網路扒手用來獲取網銀用戶敏感資料的方法,PC-cillin 雲端版先進的網路釣魚(Phishing)防範技術能協助您避免掉入這些詐騙陷阱,並增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密!》即刻免費下載試用

 

 


SPYEYE具備Rootkit功能可以隱藏進程和檔案

SPYEYE為人所知的是會竊取銀行和金融網站相關的使用者資訊。使用者可能在不知情下連到惡意網站並下載它的變種,也可能會透過垃圾郵件進入。

SPYEYE具備Rootkit功能讓它可以隱藏進程和檔案。跟其他木馬程式一樣,它利用鍵盤記錄來竊取資料。它會連到不同網站發送和接收資訊。在2011年,一名俄羅斯網路犯罪分子用SPYEYE從美國各組織竊取超過320萬美元。

在2014年,美國司法部宣布SPYEYE的製造者Aleksandr Andreevish Panin(又名Gribodemon或Harderman)承認製造和散播SPYEYE的罪名。

SHYLOCK會試圖置換某些銀行的聯絡電話成攻擊者所控制的惡意號碼

SHYLOCK間諜軟體,會試圖置換某些銀行的聯絡電話成攻擊者所控制的惡意號碼,讓受感染使用者洩露銀行和個人資料給攻擊者。使用者可能因為連上惡意網站而受到感染。SHYLOCK會竊取敏感網路銀行資訊,如使用者名稱和密碼。在2014年,美國國家犯罪局宣布關閉了SHYLOCK的指揮與控制(C&C)伺服器。

 

TINBA利用網頁注入來竊取網站的使用者登錄資訊

TINBA這詞來自於「Tiny(微小)」和「Banker(銀行家)」的結合。透過黑洞漏洞攻擊包來感染使用者,主要目標是土耳其。它利用網頁注入來竊取網站的使用者登錄資訊。TINBA也和其他惡意活動有關,如錢騾、色情網站、黑心虛擬主機和其他資料竊取惡意軟體。

 

KINS顯示看似正常的跳出視窗,要求輸入銀行憑證和社會安全號碼等資料。

KINS以「專業級銀行木馬」在地下市場銷售,功能方面和ZBOT基本上相同。它會下載帶有目標銀行列表、暫存網站和網頁注入檔案的設定檔。KINS會注入特定程式碼到使用者瀏覽器,好在使用者瀏覽某些網址時竊取網路銀行資訊,像是使用者憑證。KINS接著會顯示看似正常的跳出視窗,要求輸入銀行憑證和社會安全號碼等資料。ru04

 

VAWTRAK用貨運資訊或機票交易電子郵件作為誘餌

首見於2013年8月,VAWTRAK以社交工程(social engineering )詐騙郵件的ZIP附件檔出現,特別會偽裝成包裹遞送通知。它會偷走存在FTP客戶端的資料,包括登錄憑證。在2014年5月,VAWTRAK開始攻擊日本的使用者。接著就是在2015年攻擊美國和加拿大的銀行和金融機構。此時出現的新變種會利用貨運資訊或機票交易電子郵件作為誘餌來進到使用者電腦。

 

EMOTET讓被害者連上惡意網站時不知情下載

這個間諜軟體會竊聽網路封包來竊取資訊。它透過垃圾郵件(SPAM)來進入使用者電腦。該惡意軟體以灰色軟體或郵件附件出現。它也可能由其它惡意軟體帶來或是當使用者連上惡意網站時不知情的下載。一旦進入系統,惡意軟體會下載組件檔案,包括包含目標銀行資訊的設定檔。在2014年12月,EMOTET暫時停止活動,但在2015年1月又很快的出現。

 

DYRE可以繞過SSL( 這是網路銀行普遍的安全措施)

DYRE引起資安界的廣泛注意,因為它可以繞過SSL,這是網路銀行普遍的安全措施。就跟其他網銀木馬一樣,它透過垃圾郵件的惡意附件來進入使用者電腦,這垃圾郵件被特製成看似正常的銀行通知,通常會附加一個PDF檔案。一旦惡意軟體被安裝到系統中,它可以監視瀏覽器活動並擷取螢幕,透過瀏覽器注入來執行中間人攻擊,竊取個人安全憑證,竊取網路銀行憑證,並透過STUN(NAT會話傳輸應用程式)追蹤受害者位置。

 

 

SPHINX最早用Tor隱藏服務來完全透過Tor網路運作的網路銀行木馬之一

在2015年9月,SPHINX這網路銀行木馬成為ZeuS變種最新的一個。它基於ZeuS程式碼並用C ++編寫,是最早用Tor隱藏服務來完全透過Tor網路運作的網路銀行木馬之一。此外,就跟它的始祖一樣,它可以建立網路釣魚(Phishing)網頁用來竊取受害者網路銀行憑證。

 

 

主要技術及感染流程

網路犯罪分子使用各種方法和技術來竊取資訊。從傳統的社交工程(social engineering )伎倆,按讚釣魚到先進的自動化技術都有,底下是網路犯罪分子最常用的技術:

  1. 網路釣魚(Phishing) – 網路釣魚是用來獲取用戶敏感資料的方法,通常會假裝來自正常的銀行。一般都透過電子郵件完成,郵件可能看來像是來自某家銀行,但實際上夾帶著惡意附件會將使用者導到假網站來竊取登錄憑證和密碼。在2014年,一個稱為「Smash and Grab」的攻擊活動要求使用者觀看來自摩根大通的一封「安全」郵件。點入惡意連結的使用者會被要求輸入憑證來連上摩根大通帳號。不管使用者是否照做,假網站都會試圖在他們的電腦上自動安裝DYRE銀行木馬。
  1. 鍵盤記錄(通過垃圾郵件(SPAM) –間諜軟體家族可以擷取鍵盤輸入及將擷取的資料送到遠端伺服器。鍵盤記錄程式還會收集受影響系統的主機名稱。它會產生指到自身副本的捷徑,好在每次系統啟動時都自動執行。此外,它也可以下載並執行惡意檔案。
  1. 繞過雙因子身份認證 – 這可以用相當簡單的方法做到,銀行惡意軟體修改目標銀行網站,先詢問使用者電話號碼再要求輸入驗證碼。接著使用者會收到一封簡訊,包含連到惡意Symbian應用程式的連結。一旦安裝,惡意軟體會攔截所有的簡訊,特別是來自銀行的,並將其轉發到攻擊者所控制的號碼。攻擊者擁有這些資料後,現在可以用來竊取使用者的東西或進行其他惡意活動。
  1. 自動轉帳系統 – 不只是被動地竊取資料,自動轉帳系統(Automatic Transfer System,ATS)
    讓網路犯罪分子可以立即進行金融交易,可以在使用者不知情下清空使用者的銀行帳戶。網路犯罪分子不再需要使用者登錄憑證,因為ATS讓他們可以自動從受害者帳戶轉出資金而不留一絲痕跡。
  1. DNS變更惡意軟體 – 這惡意軟體是用來篡改路由器和其DNS設定,將使用者導到惡意的假銀行或金融網站。通過網頁互動,網路犯罪分子可以竊取使用者的帳戶憑證、PIN碼和密碼等。
  1. 瀏覽器中間人攻擊(MitB) – MitB攻擊會感染使用者電腦和注入新HTML程式碼到網站所提供的網頁,並直接從瀏覽器記憶體擷取資訊。一些MitB會注入額外欄位到登錄頁面,以獲取受害者更多的資料。

 

 

防止存款人間蒸發,使用者可以做的五件事

  1. 如果你收到可疑的網路銀行通知,在對郵件做出任何反應前先向你的銀行求證
  1. 避免點入帶有連結或附件的電子郵件。它們最有可能是惡意電子郵件,可能會下載網路銀行木馬到電腦上。
  1. 如果你懷疑有惡意軟體活動,立刻變更網路銀行密碼跟其他登錄憑證,並通知你的銀行關於任何假的交易。並且也對可能用受感染系統連上的任何帳戶做一樣的事情。
  1. 安裝可以將電子郵件保護在內的安全解決方案
  1. 小心有關銀行或金融相關的社群媒體貼文或廣告。網絡犯罪分子會利用社群媒體的普遍性來捕食不知情的使用者。

@原文出處:A Brief History of Notable Online Banking Trojans

 


勒索病毒覬覦血汗錢,PC-cillin雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

 Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

地下市場:在賣些什麼?

近年來看到許多工具包和漏洞攻擊碼的運用方式在變化。比方說黑洞漏洞攻擊包不會提供你工具包,而改為安裝在伺服器上,並使用 ioncube 編碼 PHP 檔案以保護它的作品。如今,很難得可以買到具備良好感染率的工具包,除非你想用舊的版本。在拉丁美洲,網路犯罪分子不再使用劫持來的伺服器進行C&C伺服器、郵件工具和其他惡意活動;相反地,他們用「自己」在世界各地的資料中心。此外,為了避免Google的索引雷達,他們沒有註冊任何主機名稱/網域,這些伺服器只使用IP地址。

在2013年,一名在地下世界名為ilho de Hakcer(葡萄牙語駭客的兒子;但拼錯了)的資工系大學生(現在被稱為Lordfenix)開始製造網路銀行木馬。從那時起,他持續開發和銷售銀行木馬,產出超過100種不同的銀行木馬,價格約320美元。Lordfenix仍然是今天年輕和網路犯罪獨行俠中最新的一個。

在2014年6月,美國聯邦調查局宣布其國際合作破獲了稱為「GAMEOVER」的ZBOT點對點(P2P)變種活動,這是個以彈性著稱的變種。根據趨勢科技的調查,GAMEOVER並沒有出售給別人,而是將其作私人經營。這意味著只有一個GAMEOVER運作,而不像ZBOT變種會用多個殭屍網路。

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數