銀行木馬 - 資安趨勢部落格

如何確定你連上的是官方網路銀行應用程式?

2015 年 12 月 01 日2015 年 12 月 01 日趨勢科技 TrendMicro

每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」的假銀行應用程式

當你在Android手機上使用網路銀行時，你認為銀行自己的應用程式是安全連接你帳戶的最佳方法。這的確是 – 如果它真是銀行自己的應用程式。

但如果它不是呢？萬一它是假的？而且你要怎麼知道？

在2013和2014年，有超過4000名韓國行動銀行的使用者被誘騙觀賞電影「名嘴出任務（The Interview）」，不知不覺下載了假應用程式，從他們的帳戶中吸走了數百萬 – 這可以從趨勢科技行動威脅團隊的Simon Huang發表於2015年的白皮書「韓國假銀行應用程式騙局」中看到。

這些應用程式由來自中國吉林省延邊的惡意集團所製造。它們看起來和運作起來就跟真的一樣，但卻會偷走使用者資料，包括手機號碼、帳戶名稱和號碼以及登錄憑證，這些只是從使用者帳戶中竊取金錢的前奏。
【延伸閱讀】中國「延邊幫」以行動裝置惡意程式偷走南韓網銀用戶數百萬美元

這問題在發展中國家很嚴重，特別是無法訪問Google Play的地方，那裡的使用者必須從無法確保自己網站沒有假銀行應用程式的第三方商店來安裝應用程式。結果呢？根據趨勢科技的行動應用程式信譽評比服務（MARS）所收集的資料，每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」過的假銀行應用程式。繼續閱讀

地下市場出現500美元的銀行木馬：Sphinx

2015 年 10 月 15 日2015 年 10 月 16 日趨勢科技 TrendMicro

被稱為Sphinx的新銀行木馬八月底出現在網路犯罪地下世界。在其登廣告後不久，論壇管理員很快就確認這新發表的惡意軟體可以從受感染電腦上竊聽敏感銀行憑證。

用C++編寫的Sphinx也是基於惡名昭彰的ZeuS銀行惡意軟體原始碼。值得注意的是其利用Tor網路的匿名性，開發者聲稱 Sphinx 能免疫於沉洞技術（sinkhole）、黑名單技術甚至是ZeuS追踪工具的銀行木馬。惡意軟體創造者聲稱它並不需要防彈主機（bulletproof）來運作「Botnet傀儡殭屍網路」。

網路銀行提供使用者處理銀行交易很大的方便，用戶可以用更簡單的方法進行理財、轉帳和支付。但這並非沒有風險，許多網路犯罪工具和伎倆讓無辜的網銀使用者變成受害者。

趨勢科技在之前的文章發表了過去所看到數個知名銀行木馬的簡史，並指出銀行木馬從第一隻開始就不停在進化，直到今日高度複雜化的惡意軟體。

最近發表的Sphinx被視為最新的ZeuS變種。這銀行木馬一開始售價500美元，包括表格擷取、IE、Firefox和Tor瀏覽器網頁注入、鍵盤側錄程式及FTP和POP3擷取程式。它還包含憑證擷取程式，讓它可以在憑證使用時加以攔截，以逃避安全警告並繞過防惡意軟體程式。

開發者指出 Sphinx可在Windows Vista和Windows 7上運作，即便是在使用者帳戶控制（UAC）已經啟用的電腦上。這代表Sphinx可以用較低權限的使用者帳號運作。按照開發者所言，「當你安裝Sphinx，殭屍程式會將自己複製到使用者的家目錄。此拷貝版本會跟當前使用者和作業系統綁定，並且不能由另一個使用者執行。被用來安裝的同一殭屍程式原始檔案將被自動刪除，無論是否安裝成功。」

此外，它的控制面板是用PHP開發，並且高度模仿ZeuS使用擴充套件mbstring和msyql。這可以為營運者提供受感染設備、在線殭屍電腦、新殭屍電腦、每日殭屍電腦活動及國家和作業系統統計數據等廣泛的報表。繼續閱讀

網路銀行交易安全,是金融單位與駭客之間的攻防戰

2015 年 08 月 28 日2015 年 08 月 28 日趨勢科技 TrendMicro

長期防禦戰略及多層次防禦為贏得網路銀行戰爭之利器

【2015年8月28日台北訊】隨著網路蓬勃發展，愈來愈多的金融商品及服務都透過網路銀行提供，銀行惡意程式偵測已經成為金融單位與駭客之間的重要戰爭，網路金融交易安全議題更是引起金融業和資安廠商的熱烈討論。趨勢科技資深惡意程式分析師Sean Park在今年BlackHat大會演講中，即以「贏得網路銀行戰爭」為題，細述網路犯罪份子使用不同的隱身和閃避偵測技術，讓網路犯罪份子得以竊取網路銀行客戶憑證和操縱網銀交易，導致銀行木馬程式日益猖獗，並提出新的網路銀行安全框架「惡意軟體注入防禦系統（MIPS，Malware Inject Prevention System）」給銀行資訊人員和網頁應用程式開發者，並建議同時結合長期的戰略防禦機制及使用多層次防禦，為活絡的金融交易提供更長遠、安心的保護。

趨勢科技資深惡意程式分析師Sean Park於HITCON台灣駭客年會分享今年BlackHat大會演講的「贏得網路銀行戰爭」。

幾年前，自從竊取網路銀行憑證相關資訊的金融木馬惡意程式ZeuS現身後，網路犯罪份子即透過這種手法取得受害者重要個資及金融交易資料。此類攻擊成功的原因可能是因為ZeuS利用了模組化的作法，利用網頁應用程式竊取金錢（所謂的網頁注入Web Inject），讓犯罪份子得以繞過雙因子認證，竊取網路銀行客戶憑證和操縱網銀交易，也由於有利可圖，導致此類的銀行木馬程式攻擊日益猖獗。繼續閱讀

20 歲男大生利用上百個銀行木馬賺黑心錢,還在FB 貼炫耀文

2015 年 07 月 06 日2015 年 07 月 06 日趨勢科技 TrendMicro

一旦發現鎖定的銀行，木馬程式就會關閉當前的瀏覽器視窗，然後顯示一個錯誤訊息，接著再開啟一個新的假 Google Chrome 視窗。由於瀏覽器視窗的切換非常順暢，因此整個過程使用者幾乎無法察覺。若瀏覽器是 Internet Explorer 或 Firefox，則原始視窗會留著，但還是會顯示錯誤訊息，然後再顯示假瀏覽器視窗。

一位在地下市場上化名為 Lordfenix 的 20 歲巴西大專青年，現已成為巴西名列前茅的銀行惡意程式作者。Lordfenix 在地下市場上的名聲，來自於他開發了上百個網路銀行木馬程式，每一個價值皆在 300 美元以上。Lordfenix 是今日如雨後春筍般不斷冒出的年輕知名網路犯罪個體戶的最新案例。

Lordfenix 是誰？

Lordfenix 是巴西托坎廷斯 (Tocantins) 地區的一位 20 歲電腦系學生。其最早的活動記錄大約可追溯到 2013 年 4 月左右。當時他使用的是另一個化名：Filho de Hakcer (在葡萄牙文意為「駭客之子」，不過卻拼錯字)。當時他在網路上貼文徵求木馬程式的製作方法。

圖 1：Lordfenix (當時為 Filho de Hakcer ) 在網路上的貼文。

根據他 Facebook 炫耀文中的照片來看 (日期為 2013 年 9 月)，他在這一行似乎混得不錯。

圖 2：他在 Facebook 上貼文炫耀自己利用木馬程式賺錢。 繼續閱讀

偽裝成購物網站寄來的發票,新形態銀行木馬程式侵襲日本

2015 年 05 月 22 日2015 年 05 月 20 日趨勢科技 TrendMicro

一種與 Emmental 攻擊行動手法類似的新形網路銀行惡意程式正肆虐日本，這就是趨勢科技所偵測到的 TROJ_WERDLOD 木馬程式，此一新的惡意程式從2014 年 12 月肆虐至今，已確定的受害者數量超過 400。

這項威脅藉由兩項系統設定變更來讓它能直接在網路層次竊取資訊 (也就是不需借助資料竊盜惡意程式)。其優點是不需要重新開機或者在感染的系統上執行任何常駐程式。

第一項變更是系統的 Proxy (網站代理伺服器) 設定，將某些使用者的網際網路流量重導到一個駭客掌握的 Proxy。第二項變更是將惡意根憑證加到系統信任的根憑證清單當中。如此一來，歹徒就能從其 Proxy 發動中間人攻擊 (Man-In-The-Middle，簡稱 MITM) 並使用惡意網站的憑證而不會造成系統出現警告或錯誤訊息。

這項惡意 Proxy 搭配新增根憑證的技巧，曾經出現在 Emmental 攻擊行動當中，所以，顯然這項技巧已經傳到了日本。

感染途徑

TROJ_WERDLOD 會利用含有 .RTF 附件檔案的垃圾電子郵件來感染使用者。該文件會偽裝成購物網站寄來的發票或帳單。這個 .RTF 檔案開啟之後，其內容會指示使用者點兩下文件當中的某個圖示 (見下圖)，使用者一旦照做，就會讓 TROJ_WERDLOD 得以執行。