網路銀行 - 資安趨勢部落格

2015 上半年行動威脅情勢:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式

2015 年 09 月 03 日2015 年 09 月 09 日趨勢科技 TrendMicro

2015 上半年行動威脅情勢的焦點在於作業系統、應用程式以及裝置本身的漏洞。過去幾個月來所發生的幾起重大事件和案例顯示這些漏洞已成為歹徒的攻擊管道。此外，越權廣告程式和可能有害的程式 (PUA) 仍是極為普遍的威脅，數以百萬計的使用者因而暴露在惡意廣告與個資蒐集程式的危險當中。

以下是 2015 上半年幾起最重大的行動威脅案例。

內含 MDash 軟體開發套件 (SDK) 的應用程式突顯出線上廣告的危險

一些可能有害的線上廣告不光只是煩人而已，還會在行動裝置上植入惡意程式。

今年二月，Google Play 下架了一些據報由廣告程式偽裝的應用程式，這些內含 MDash 廣告 SDK 的應用程式讓數百萬台裝置感染了越權廣告程式，這就是趨勢科技所偵測到的 ANDROIDOS_ADMDASH.HRX。內含此 SDK 的惡意程式家族可在使用者背後偷打電話並偷偷蒐集資訊，並將資訊傳送至遠端伺服器。此外，還會在已感染的裝置上再安裝其他更惡劣的廣告。

內含 MDash SDK 的 App 程式

根據我們的調查，截至去年 3 月 11 日為止，Google Play 商店上就發現 2,377 個這類 App 程式的 SHA-256 雜湊碼。Google 在接獲研究人員通知之後，立刻展開了調查。

Pawn Storm 攻擊行動使用惡意的 iOS App 繼續閱讀

網路銀行交易安全,是金融單位與駭客之間的攻防戰

2015 年 08 月 28 日2015 年 08 月 28 日趨勢科技 TrendMicro

長期防禦戰略及多層次防禦為贏得網路銀行戰爭之利器

【2015年8月28日台北訊】隨著網路蓬勃發展，愈來愈多的金融商品及服務都透過網路銀行提供，銀行惡意程式偵測已經成為金融單位與駭客之間的重要戰爭，網路金融交易安全議題更是引起金融業和資安廠商的熱烈討論。趨勢科技資深惡意程式分析師Sean Park在今年BlackHat大會演講中，即以「贏得網路銀行戰爭」為題，細述網路犯罪份子使用不同的隱身和閃避偵測技術，讓網路犯罪份子得以竊取網路銀行客戶憑證和操縱網銀交易，導致銀行木馬程式日益猖獗，並提出新的網路銀行安全框架「惡意軟體注入防禦系統（MIPS，Malware Inject Prevention System）」給銀行資訊人員和網頁應用程式開發者，並建議同時結合長期的戰略防禦機制及使用多層次防禦，為活絡的金融交易提供更長遠、安心的保護。

趨勢科技資深惡意程式分析師Sean Park於HITCON台灣駭客年會分享今年BlackHat大會演講的「贏得網路銀行戰爭」。

幾年前，自從竊取網路銀行憑證相關資訊的金融木馬惡意程式ZeuS現身後，網路犯罪份子即透過這種手法取得受害者重要個資及金融交易資料。此類攻擊成功的原因可能是因為ZeuS利用了模組化的作法，利用網頁應用程式竊取金錢（所謂的網頁注入Web Inject），讓犯罪份子得以繞過雙因子認證，竊取網路銀行客戶憑證和操縱網銀交易，也由於有利可圖，導致此類的銀行木馬程式攻擊日益猖獗。繼續閱讀

偽裝成購物網站寄來的發票,新形態銀行木馬程式侵襲日本

2015 年 05 月 22 日2015 年 05 月 20 日趨勢科技 TrendMicro

一種與 Emmental 攻擊行動手法類似的新形網路銀行惡意程式正肆虐日本，這就是趨勢科技所偵測到的 TROJ_WERDLOD 木馬程式，此一新的惡意程式從2014 年 12 月肆虐至今，已確定的受害者數量超過 400。

這項威脅藉由兩項系統設定變更來讓它能直接在網路層次竊取資訊 (也就是不需借助資料竊盜惡意程式)。其優點是不需要重新開機或者在感染的系統上執行任何常駐程式。

第一項變更是系統的 Proxy (網站代理伺服器) 設定，將某些使用者的網際網路流量重導到一個駭客掌握的 Proxy。第二項變更是將惡意根憑證加到系統信任的根憑證清單當中。如此一來，歹徒就能從其 Proxy 發動中間人攻擊 (Man-In-The-Middle，簡稱 MITM) 並使用惡意網站的憑證而不會造成系統出現警告或錯誤訊息。

這項惡意 Proxy 搭配新增根憑證的技巧，曾經出現在 Emmental 攻擊行動當中，所以，顯然這項技巧已經傳到了日本。

感染途徑

TROJ_WERDLOD 會利用含有 .RTF 附件檔案的垃圾電子郵件來感染使用者。該文件會偽裝成購物網站寄來的發票或帳單。這個 .RTF 檔案開啟之後，其內容會指示使用者點兩下文件當中的某個圖示 (見下圖)，使用者一旦照做，就會讓 TROJ_WERDLOD 得以執行。

圖 1：導致使用者感染 TROJ_WERDLOD 的垃圾郵件 繼續閱讀

影響全球銀行的 CARBANAKAPT 目標攻擊

2015 年 03 月 12 日2016 年 07 月 12 日趨勢科技 TrendMicro

想想看，有一種APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊將目標放在金融利益上，而非典型地會去竊取企業內部的重要資料或機密數據，那你大概就知道CARBANAK是什麼了。根據新聞報導，一個後門程式攻擊了超過100家的銀行和金融機構。這起攻擊始於2013年，影響了全球的銀行。

什麼是CARBANAK？

CARBANAK是目標放在銀行和金融機構的針對性攻擊活動相關的偵測名稱。根據報告，它所採用的方法和技術（如魚叉式網路釣魚（Phishing）和漏洞攻擊），都常見於針對性攻擊中。因此，攻擊者的確會對目標網路進行情報蒐集以加以滲透。就跟其他針對性攻擊一樣，他們也使用魚叉式釣魚郵件作為攻擊進入點。趨勢科技將其偵測為BKDR_CARBANAK.A。

誰是目標？

CARBANAK惡意軟體背後的攻擊者將目標放在各個國家的銀行和金融機構，像是俄羅斯、美國、烏克蘭及其他亞太地區國家。

惡意軟體如何進入網路？

CARBANAK背後的攻擊者會寄送魚叉式釣魚郵件給目標銀行的員工。該電子郵件的附件檔帶有已知或舊的漏洞攻擊碼，如CVE-2012-0158、CVE-2013-3906和CVE-2014-1761。一旦攻擊成功，就會執行shellcode以執行CARBANAK惡意軟體。而在其他的感染鏈中，使用者會收到CPL檔案，執行後也會帶來CARBANAK惡意軟體。繼續閱讀