研究人員在九月發現一種名為IcedID(趨勢科技偵測為TSPY_EMOTET.SMD3、TSPY_EMOTET.SMD4和TSPY_EMOTET.AUSJMY)的新型銀行木馬出現在美國、英國和加拿大的金融機構,包括了銀行、支付卡廠商、行動服務商及電子商務網站。銀行木馬的影響範圍目前尚不清楚,但根據初步報告顯示,到本文發表時的影響仍然有限。
對此木馬的初步分析顯示它是透過被稱為EMOTET的另一個木馬殭屍網路散播。在此案例中,殭屍網路被用來當作惡意軟體散播平台,就跟之前的攻擊散播DRIDEX木馬一樣。一旦IcedID進入系統內,它會利用重新導向和網頁注入技術來進行攻擊。這惡意軟體還包含一個網路散播模組,讓它不僅可以移動到其他端點系統,還可能移動到終端伺服器上。
IcedID攻擊的初始階段是當使用者開啟網頁瀏覽器時,會從C&C伺服器下載包含木馬目標的設定檔案。具體來說,它對線上銀行網站使用網頁注入攻擊,並對支付卡和網路信箱網站使用重新導向技術。
在重新導向時,IcedID會建立一個位在端口49157的本地代理程式,它會攔截並匯集網路流量,然後導至C&C伺服器。它的重新導向做法會在網址列顯示銀行的合法網址及正確的SSL憑證來盡可能的看似正常,這些都是透過與實際銀行網站的即時連線完成。使用者接著會被要求在假網頁輸入帳號密碼,再被送到攻擊者的伺服器。然後會使用社交工程伎倆來誘騙受害者給出更多機密資訊,包括可被用來侵入使用者帳戶的認證細節。
IcedID跟其他銀行木馬如Zeus和Gozi(趨勢科技偵測為ZBOT家族)及DRIDEX有些相似之處,例如都會使用網頁注入和重新導向技術。儘管有相似之處,IceID的分析結果顯示它似乎沒有借用其他銀行木馬的程式碼,這意味著它並非基於現有的木馬程式,而是一個全新的惡意軟體。而之後IceID的作者也可能會更進一步地加入更多功能。
IcedID木馬有個缺陷是它缺乏防虛擬機(VM)和防研究技術,這表示它能夠被多層次安全解決方案所阻止。趨勢科技Smart Protection Suites 和Worry-Free Pro可以偵測這些惡意檔案和垃圾郵件以及封鎖所有相關惡意網址來保護使用者和企業免於這些威脅。Deep Discovery具備電子郵件檢查層,可以偵測惡意附件檔和網址來保護企業。
需要全面性安全防護的企業可以考慮趨勢科技具備XGen安全防護端點防護技術的趨勢科技 OfficeScan™,它融合了高保真機器學習和其他偵測技術及全球威脅情報,能夠全面性地防禦進階惡意軟體。
@原文出處:IcedID Banking Trojan Targets US Financial Institutions