網路銀行的相關威脅已經流行了好幾年,不過最近它們似乎下定決心要擴大目標範圍。在過去幾個禮拜、幾個月內,趨勢科技看到利用各類技術的多種攻擊將目標放在韓國銀行。
我們所看到的最新一次攻擊,會使用木馬程式將幾家韓國銀行使用者導向到惡意的網路釣魚(Phishing)網站。它通過修改系統的HOSTS檔案來做到這一點,好將使用者導到位在日本的一個IP地址。這起攻擊所用的木馬程式為TSPY_QHOST.QFB,而相關的批次檔(實際用來修改HOSTS檔案的程式)被偵測為BAT_QHOST.QFB。(這種技術已經被其他的銀行威脅使用多年了)
惡意網站看起來像這樣:
圖一、惡意網站網頁
惡意網站在中間會多出一個視窗。
圖二、惡意網站多出的視窗
圖片大致翻譯如下:
您有在電腦上安裝安全憑證嗎?
您有使用安全晶片卡來做身分識別嗎?
如果您取得這個安全憑證,您就可以安心地使用友利網路銀行。
點擊以下按鈕,您將會移動到安全驗證網頁。
開始日期:預計在八月到九月。
不知情的使用者可能會相信自己確實需要執行此驗證動作,從而按下按鈕。一開始,使用者會被導到下面這個會詢問他們名字和韓國居民身份證號碼的網頁:
圖三、要求資訊
下面的畫面要求更多資訊,像是手機號碼、帳戶號碼、帳戶密碼、使用者帳號、使用者密碼和憑證密碼:
圖四、要求更多的資訊
這些釣魚網站利用了使用者對他們銀行的信任,來獲取使用者金融和個人資訊。使用者以為自己是將資料輸入到真正的銀行網站,但其實並不是。相反地,這些資訊最後落到了創造這惡意軟體的攻擊者手中。(趨勢科技可以偵測這釣魚網站和相關的惡意軟體)。
雖然這次攻擊看起來在目標選擇上有些變化,但所用的惡意軟體還是比不上其他地方所使用的那樣複雜。另外,最近也已經看過許多次銀行威脅利用各種手法來竊取韓國使用者資料。
我們去年在犯罪軟體報告裡提到過銀行威脅。但是在未來,還是有可能會看更加複雜的威脅攻擊這些銀行。
@原文出處:Malware Redirects South Korean Users To Phishing Sites
