假冒銀行轉帳通知耍詐!!新的銀行惡意軟體會利用網路監聽來竊取資料

隨著越來越多使用者使用網路銀行,有越來越多銀行惡意軟體出現也就並不令人驚訝了。事實上,趨勢科技在2013年看到有將近一百萬的新銀行惡意軟體變種出現,是前一年的兩倍。銀行惡意軟體趨勢一直持續到今年,加入了新的惡意軟體,甚至是新的技術。

就在趨勢科技發現會利用Windows安全功能的銀行惡意軟體後幾個星期,我們注意到另一個銀行惡意軟體。讓這個被偵測為EMOTET的惡意軟體特別值得注意的是,它會「監聽」網路流量以竊取資料。

向錢看!金融惡意軟體:銀行木馬,勒索軟體不斷開發”新市場”

垃圾郵件連結

EMOTET變種會透過垃圾郵件到達。這些郵件通常和銀行轉帳和快遞收據有關。收到這些電子郵件的使用者可能會被說服點入連結,因為該郵件跟金融交易有關。

假冒銀行轉帳通知耍詐!!新的銀行惡意軟體會利用網路監聽來竊取資料

圖一、垃圾郵件樣本

 

假冒銀行轉帳通知耍詐!!新的銀行惡意軟體會利用網路監聽來竊取資料

圖二、垃圾郵件樣本

 

裡面出現的連結會導致下載EMOTET變種到系統內。

 

通過網路監聽竊取

一旦進入系統,惡意軟體會下載它的組件檔案,包括內含惡意軟體目標銀行資訊的設定檔案。工程師所分析的變種顯示某些德國的銀行被列入監控網站列表。但是請注意,可能會有不同的設定檔案。因此,不同的設定檔案可能也會包含不同銀行的監控資訊。

另一個下載的檔案是會注入到所有程序的DLL檔案,負責攔截和記錄對外的網路流量。當注入到瀏覽器,這惡意DLL會用先前下載的設定檔案內的字串來比對所訪問的網站。

如果字串符合,該惡意軟體會取得存取的網址和送出的資料來重組出資訊。該惡意軟體會將網站內容全都儲存下來,代表可以竊取和儲存任何資料。

EMOTET甚至可以「監聽」透過安全連線送出的資料,因為它可以掛到下列網路API來監控網路流量:

 

  • PR_OpenTcpSocket
  • PR_Write
  • PR_Close
  • PR_GetNameForIndentity
  • Closesocket
  • Connect
  • Send
  • WsaSend

 

趨勢科技的研究人員嘗試登錄會被惡意軟體給擷取,儘管該網站使用HTTPS。

 

假冒銀行轉帳通知耍詐!!新的銀行惡意軟體會利用網路監聽來竊取資料

 

假冒銀行轉帳通知耍詐!!新的銀行惡意軟體會利用網路監聽來竊取資料

圖三和圖四、嘗試登錄會被該惡意軟體所擷取

這種形式的資料竊取很值得注意,因為其他銀行惡意軟體往往依賴於加入表單欄位或網路釣魚(Phishing)網頁來竊取資料。使用網路監聽讓它更難被使用者發現任何可疑活動,因為沒有明顯的變化(像是額外的表單欄位或釣魚網頁)。而且,它甚至可以繞過應該是安全的連線(像是HTTPS)來危害到使用者的個人身份資料和銀行憑證。使用者會去使用他們的網路銀行而完全不會察覺到資料被竊取。

 

使用註冊表

註冊表在EMOTET行為中有著顯著作用。下載的組件檔案被放在不同的位置。偷來的資料也在加密後放在註冊表內。

決定將檔案和資料儲存在註冊表內可以視作為一種躲避的方法。跟檢查新或不尋常的檔案比起來,一般使用者通常不會檢查註冊表是否有惡意或可疑活動。根據相同的理由,它也可以被用來對付基於檔案的防毒偵測。

趨勢科技目前正在調查這惡意軟體家族如何將從網路「監聽」所收集的資料送出。

 

審慎行事

根據趨勢科技主動式雲端截毒服務  Smart Protection Network所收到的最新回饋資料顯示,EMOTET感染者主要集中在歐洲地區,德國是最主要受影響國家。這並不大令人驚訝,因為所有被針對的銀行都在德國。然而,其他像亞太地區和北美也都有看到EMOTET感染,意味著這種病毒並非針對一特定地區或國家。

由於EMOTET會經由垃圾郵件到達,建議使用者不要點入連結或下載未經驗證的檔案。想瞭解金融相關事項,最好在行動前先打電話跟相關金融機構或銀行確認該郵件。

趨勢科技封鎖了所有相關威脅。

更新

我們所看到會有此行為的檔案SHA1雜湊值是:

  • ba4d56d01fa5f892bc7542da713f241a46cfde85

 

@原文出處:New Banking Malware Uses Network Sniffing for Data Theft作者:Joie Salvio(威脅回應工程師)
FB_banner0331-2
免費下載 防毒軟體 PC-cillin 試用版下載