隨著越來越多使用者使用網路銀行,有越來越多銀行惡意軟體出現也就並不令人驚訝了。事實上,趨勢科技在2013年看到有將近一百萬的新銀行惡意軟體變種出現,是前一年的兩倍。銀行惡意軟體趨勢一直持續到今年,加入了新的惡意軟體,甚至是新的技術。
就在趨勢科技發現會利用Windows安全功能的銀行惡意軟體後幾個星期,我們注意到另一個銀行惡意軟體。讓這個被偵測為EMOTET的惡意軟體特別值得注意的是,它會「監聽」網路流量以竊取資料。
垃圾郵件連結
EMOTET變種會透過垃圾郵件到達。這些郵件通常和銀行轉帳和快遞收據有關。收到這些電子郵件的使用者可能會被說服點入連結,因為該郵件跟金融交易有關。
圖一、垃圾郵件樣本
圖二、垃圾郵件樣本
裡面出現的連結會導致下載EMOTET變種到系統內。
通過網路監聽竊取
一旦進入系統,惡意軟體會下載它的組件檔案,包括內含惡意軟體目標銀行資訊的設定檔案。工程師所分析的變種顯示某些德國的銀行被列入監控網站列表。但是請注意,可能會有不同的設定檔案。因此,不同的設定檔案可能也會包含不同銀行的監控資訊。
另一個下載的檔案是會注入到所有程序的DLL檔案,負責攔截和記錄對外的網路流量。當注入到瀏覽器,這惡意DLL會用先前下載的設定檔案內的字串來比對所訪問的網站。
如果字串符合,該惡意軟體會取得存取的網址和送出的資料來重組出資訊。該惡意軟體會將網站內容全都儲存下來,代表可以竊取和儲存任何資料。
EMOTET甚至可以「監聽」透過安全連線送出的資料,因為它可以掛到下列網路API來監控網路流量:
- PR_OpenTcpSocket
- PR_Write
- PR_Close
- PR_GetNameForIndentity
- Closesocket
- Connect
- Send
- WsaSend
趨勢科技的研究人員嘗試登錄會被惡意軟體給擷取,儘管該網站使用HTTPS。
圖三和圖四、嘗試登錄會被該惡意軟體所擷取
這種形式的資料竊取很值得注意,因為其他銀行惡意軟體往往依賴於加入表單欄位或網路釣魚(Phishing)網頁來竊取資料。使用網路監聽讓它更難被使用者發現任何可疑活動,因為沒有明顯的變化(像是額外的表單欄位或釣魚網頁)。而且,它甚至可以繞過應該是安全的連線(像是HTTPS)來危害到使用者的個人身份資料和銀行憑證。使用者會去使用他們的網路銀行而完全不會察覺到資料被竊取。
使用註冊表
註冊表在EMOTET行為中有著顯著作用。下載的組件檔案被放在不同的位置。偷來的資料也在加密後放在註冊表內。
決定將檔案和資料儲存在註冊表內可以視作為一種躲避的方法。跟檢查新或不尋常的檔案比起來,一般使用者通常不會檢查註冊表是否有惡意或可疑活動。根據相同的理由,它也可以被用來對付基於檔案的防毒偵測。
趨勢科技目前正在調查這惡意軟體家族如何將從網路「監聽」所收集的資料送出。
審慎行事
根據趨勢科技主動式雲端截毒服務 Smart Protection Network所收到的最新回饋資料顯示,EMOTET感染者主要集中在歐洲地區,德國是最主要受影響國家。這並不大令人驚訝,因為所有被針對的銀行都在德國。然而,其他像亞太地區和北美也都有看到EMOTET感染,意味著這種病毒並非針對一特定地區或國家。
由於EMOTET會經由垃圾郵件到達,建議使用者不要點入連結或下載未經驗證的檔案。想瞭解金融相關事項,最好在行動前先打電話跟相關金融機構或銀行確認該郵件。
趨勢科技封鎖了所有相關威脅。
更新
我們所看到會有此行為的檔案SHA1雜湊值是:
- ba4d56d01fa5f892bc7542da713f241a46cfde85
@原文出處:New Banking Malware Uses Network Sniffing for Data Theft作者:Joie Salvio(威脅回應工程師)
