Android 銀行木馬再進化,冒充影片播放 app, 竊取銀行憑證和信用卡資料,還可繞過HTTPS安全連線

銀行木馬 EMOTET和Trickbot 在沉寂一段時間後再度死灰復燃，(趨勢科技將它們分別偵測為TSPY_EMOTET和TSPY_TRICKLOAD)。這些銀行病毒都是經由社交工程（social engineering ）惡意垃圾郵件或網路釣魚（Phishing）郵件散播。安全研究人員指出它們還會利用蠕蟲、下載其它惡意軟體以及模仿銀行網域等方式散播。

EMOTET能夠“竊聽”經由網路連線傳輸的資料,以繞過HTTPS安全連線，並躲避傳統的偵測技術

EMOTET首次現身於 2014年: 假冒銀行轉帳通知!!利用網路監聽竊取資料跟其他利用惡意網頁來竊取銀行資料的銀行惡意軟體不同，EMOTET能夠“竊聽”經由網路連線傳輸的資料。這讓攻擊者可以繞過像HTTPS這樣的安全連線，並且躲避傳統的偵測技術。在2016年12月，趨勢科技發現它再度出現在相同地區，還包括了熟悉的舊資料竊取軟體DRIDEX和ZeuS/ZBOT。

最近再度出現的EMOTET還會植入DRIDEX病毒。垃圾郵件內的惡意連結會將受害者導向下載一個Word文件，內嵌會觸發PowerShell腳本的Visual Basic程式碼。這腳本會下載並執行EMOTET及其他惡意軟體，其中最常見的是DRIDEX，放在各攻擊者所擁有的網域。

Trickbot銀行木馬偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制（C&C）伺服器下載Trickbot的惡意巨集

Trickbot銀行木馬是前輩DYRE/Dyreza惡意軟體的接班人，它會利用以假亂真的銀行網頁。也透過夾帶HTML檔案的惡意垃圾郵件散播。這些HTML檔案會下載偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制（C&C）伺服器下載Trickbot的惡意巨集。

Trickbot運作者一直都很積極地透過各種垃圾郵件攻擊來散播惡意軟體。今年的的第一波攻擊出現在四月和七月，目標是美國、英國、澳洲、瑞士和德國的金融機構和他們的客戶。

[資訊安全指南：解決電子郵件威脅]

會監視和攔截簡訊的Android銀行病毒Bankbot: 冒充影片播放app,竊取銀行憑證和信用卡資料

行動平台也不能倖免。Android銀行病毒Bankbot（ANDROIDOS_BANKERSMS.OPS）在今年初再度出現，首先透過第三方應用程式商店來攻擊俄羅斯用戶。現在它將目標放在超過420間的金融機構，包括了奧地利、法國、荷蘭和土耳其等國。Bankbot出自另一隻被外洩的銀行木馬原始碼，再經由Bankbot作者的改造。

這個Android惡意軟體不僅可以竊取銀行憑證和信用卡資料；也會監視和攔截簡訊，還可以繞過如雙因子認證的驗證方法。它也可以挖掘儲存在設備上應用程式的信用卡資料，像是Facebook、WhatsApp、Google Play和Uber。在四月中旬和七月下旬，Google Play 上有許多帶有Bankbot的應用程式冒充影片播放app或網路銀行應用程式。還好目前這些應用程式現在已經被下架。

[延伸閱讀：駭客可以拿你被竊的身份做什麼]

接二連三地出現會帶來資料竊取程式的攻擊活動反映出駭客是多麽想要個人身份資料。尤其是金融資料，因為不僅可以用來清空銀行帳戶，也可以在網路犯罪地下市場作為商品交易。在2016年，詐騙和身份竊盜造成企業和一般使用者超過160億美元的損失。

雖然這些威脅仍然使用舊的手法，像是利用巨集和垃圾郵件，它們也加入能隱匿自身的技術。越來越多會利用不常用來散播惡意軟體的載體，如HTML檔案或合法系統管理工具（如PowerShell）。EMOTET和Trickbot的自我複製能力也似乎是從惡名昭彰的WannaCry和Petya病毒爆發得到靈感。

企業和一般使用者要如何避免或防禦這些威脅？遵循防禦網路釣魚攻擊的最佳做法。攻擊者可以因為小小字母的變動而大有所穫。要辨別網路釣魚的假造痕跡：寄件者姓名、電子郵件地址、網址/網域、文法和拼寫錯誤、無端要求個人資料。在企業電子郵件閘道部署強大的安全政策，並確保自己的網路基礎設施可以過濾、驗證並阻止惡意流量（如異常資料外洩）。

趨勢科技解決方案

趨勢科技的InterScan Messaging Security透過全球威脅情報可以將郵件威脅阻止在雲端，使用資料外洩防護和加密技術來保護你的資料，並且利用趨勢科技Network Defense Solution來識別針對性郵件攻擊、勒索病毒和進階持續性威脅（APT）。混合式軟體即服務（SaaS）部署結合了內部部署虛擬設備的隱私和控制能力以及雲端過濾服務的主動防護。

Deep Discovery透過特製引擎、客製化沙箱以及橫跨整個攻擊生命週期的無縫關聯技術能夠偵測、深入分析和主動回應利用漏洞的攻擊，讓它可以無需更新引擎或病毒碼就能夠偵測上面所提到的零時差攻擊威脅。

趨勢科技的Hosted Email Security是無需客戶維護的雲端解決方案，提供持續更新的防護來阻止垃圾郵件、惡意軟體、魚叉式釣魚攻擊（SPEAR PHISHING）、勒索病毒以及先進的針對性攻擊進入你的網路。它可以保護Microsoft Exchange、微軟Office 365、Google Apps和其他代管和內部部署的電子郵件解決方案。

一般使用者和企業也可以利用多層次行動安全解決方案，如趨勢科技行動安全防護。趨勢科技的行動安全防護企業版提供設備、合規和應用程式管理、資料保護和設定配置，同時保護設備防止漏洞攻擊，阻止對應用程式未經授權的存取以及偵測和封鎖惡意軟體和詐騙網站。

@原文出處：Banking Malware EMOTET and Trickbot Go Phishing… Again

PC-cillin 2017雲端版?防範勒索 ?保護個資 ✓手機✓電腦✓平板，跨平台防護３到位