趨勢科技最近發現一個新的銀行木馬針對了數家韓國銀行。這並非首例:在2013年六月,我們就看到數個網路銀行威脅擴大其活動範圍,並且利用各種技術鎖定韓國銀行。
在監控類似威脅的過程中,我們注意到一波針對韓國銀行的新銀行木馬攻擊,包括會利用Pinterest作為指揮與控制(C&C)頻道。
透過惡意iframe注入來加以感染
此威脅目前的影響範圍是韓國使用者,會利用淪陷網站來導致漏洞攻擊包。在11月中,我們發現一次感染的感染鏈會牽涉到多個惡意網站。
為了將攻擊到使用者,惡意份子首先會淪陷正常網站並注入iframe。它會將使用者導到放置漏洞攻擊包的第二個淪陷網站,其會植入銀行木馬到使用者系統內。趨勢科技將其偵測為TSPY_BANKER.YYSI。
一旦這惡意軟體出現在受影響系統上,使用IE瀏覽器連上特定銀行網站的使用者會被自動導到惡意網站。該網站包含了要求使用者輸入銀行認證資訊的網路釣魚(Phishing)網頁。使用其他瀏覽器連到網站的使用者則不受影響。(因為韓國法規要求,韓國使用者一般都會用IE瀏覽器來訪問本地銀行網站。)
圖一、比較真正的銀行網站與假冒的銀行網站 繼續閱讀
網路犯罪分子和威脅幕後黑手經常會利用測試過的漏洞來感染使用者系統,也藉此去穿透企業網路。這凸顯出修補系統和將軟體及應用程式保持在最新狀態的重要性。
趨勢科技最近發現DYREZA惡意軟體利用了舊的Adobe Reader和Acrobat漏洞(CVE-2013-2729)。一旦成功地攻擊此漏洞,就可以在受影響系統上執行任意程式碼。
圖1-2、垃圾郵件截圖
DYREZA惡意軟體使用偽裝成收據通知的垃圾郵件作為感染媒介。它夾帶著惡意PDF檔案(被趨勢科技偵測為TROJ_PIDIEF.YYJU)。一旦執行,它會攻擊CVE-2013-2729漏洞,進而去下載TSPY_DYRE.EKW,一個DYREZA變種(也被稱為DYRE和DYRANGES)。
DYREZA是個以竊取銀行認證資訊聞名的惡意軟體,而且和包裹騾子詐騙有關。我們最近寫過一篇部落格文章詳述了此惡意軟體在威脅環境生態系中所扮演的角色和一些顯著的行為,包括其有能力透過瀏覽器注入來進行中間人(MITM)攻擊,監視目標銀行的網路銀行連線和竊取其他資訊,如瀏覽器版本、截圖和個人認證資訊。
使用者和企業都有危險,因為DYREZA可以透過瀏覽器截圖來取得其他類型的資料,像是個人識別資訊(PII)和認證資訊。此外,還有報告指出CUTWAIL殭屍網路會導致下載UPATRE和DYRE惡意軟體。
讓TSPY_DYRE.EKW值得注意的是其注入惡意程式碼到特定銀行和比特幣登入頁面來竊取重要資訊的能力。它所監視的一些比特幣網頁:
除了資料竊取的行為外,TSPY_DYRE.EKW可以連到某些惡意網站來收發資訊。此外,它可以連到特定STUN(NAT會話傳輸應用程式)伺服器來確認其感染電腦的公開IP位址。因此,網路犯罪分子可以找出惡意軟體的位置或判斷受影響使用者和組織的位置。出現最多受害者的國家包括了愛爾蘭、美國、加拿大、英國和荷蘭。
比特幣是一種具有真實世界價值的數位貨幣。網路犯罪分子常常會將目標放在比特幣上,因為它提供了一個可以產生利潤的新場所。雖然這並不是第一次詐騙分子及網路犯罪分子將目標放在比特幣上,這個新攻擊凸顯出傳統威脅(如漏洞和銀行惡意軟體)仍然是網路犯罪分子竊取使用者認證資訊和攻擊較新平台(比特幣)的常用手段。它也教了我們關於保持系統和軟體應用程式更新到最新版本的重要一課。
趨勢科技透過主動式雲端截毒服務 Smart Protection Network來保護使用者對抗此威脅,它會偵測垃圾郵件和所有相關惡意軟體。
@原文出處:Old Adobe Vulnerability Used in Dyreza Attack, Targets Bitcoin Sites作者:Rika Joi Gregorio(趨勢科技威脅回應工程師)
假日季節正在接近了,你們有些人或許已經提早進行假日採購了–檢查錢包來趕上購物熱潮。假日季節也帶來了每年都會在這段時候出現的網路犯罪活動:
此一系列的文章著重於一特定銀行惡意軟體,被偵測為TSPY_BANKER.DYR。在深入瞭解惡意軟體本身後,我們會將這惡意軟體威脅放入整個生態系,加上其連結的的垃圾郵件,甚至包裹騾子詐騙(指將包裹寄送到別的地方的人,就跟「驢子」一樣)。這些人很容易落入騙局,因為打著「容易致富」的名號。
關於DYR的一切
這被偵測的惡意軟體跟DYRE(也被稱為DYREZA,DYRANGES或BATTDIL)有關。TSPY_BANKER.DYR跟DYRE變種有許多相似之處,可以從其行為看出:
約翰迪林傑因為在經濟大蕭條時搶劫了二三十家銀行而惡名昭彰。他和他的同黨因著三種策略而成功:他們會研究下手機構並了解他們的安全措施和做法;他們有著優勢火力;以及他們有著更快的車子,所以他們可以跨州逃亡。現代的迪林傑黑幫出現在前蘇聯集團中。這些網路黑幫從全球金融機構竊取了數十億美金。我們從他們先進的策略中學到很重要的事情。在2014年,針對金融機構的有組織網路攻擊出現重要的轉折。優秀的「保險箱破解專家」現在從四個面向侵入:
網頁應用程式攻擊:網頁應用程式的零時差漏洞被廣泛地用來攻擊金融機構。一個重要的歐洲金融機構在7月 24日遇上一次,就如同部分美國機構一樣。
水坑攻擊:在水坑攻擊中,威脅分子會入侵金融機構網站內的特定網頁,插入會導致惡意軟體感染的漏洞攻擊碼;這類攻擊有25%位在美國。這是因為缺乏對OWASP前十大漏洞的網站安全防護和測試。
認證資訊攻擊:從Emmental攻擊活動(由趨勢科技所發現)可見一斑,駭客開發自製的惡意軟體來繞過雙因子身份認證,並從註冊表刪除其足跡以避免被偵測。
跳島和二次感染:針對金融機構的「虛擬供應鏈」進行針對性攻擊的例子到處都是。除了這交易對手風險的新動力,還會廣泛利用之前安裝在受信任系統的後門程式來進行二次感染。後門程式 – 讓電腦可被遠端存取的應用程式 – 在針對性攻擊中發揮了至關重要的作用。後門程式通常會被用在針對性攻擊過程的第二(進入點)或第三(指揮和控制 [C&C])階段,好讓威脅份子可以取得對目標網路的指揮和控制能力。入侵外洩偵測系統是挫敗這類攻擊的關鍵。
2008年和 2009年的金融危機讓數以千計的銀行和金融專業人士失去工作。其中有一小部分將其金融專才和策略性知識借給地下影子經濟。有證據顯示網路犯罪分子現在將金融詐騙計畫融入網路攻擊。這些貨幣化的輔助計畫也預示了將會出現前所未見的犯罪浪潮。注:這些情境被詳細說明和預示在 2005年5月的世界銀行報告 – 「資本市場和電子詐騙」中。想知道這些騙局的說明,
請參閱:https://elibrary.worldbank.org/doi/book/10.1596/1813-9450-3586
由於網路犯罪人員組織程度和複雜度的增加,和執法單位合作已經是勢在必行。趨勢科技在過去25年來一直和國內及國際的執法單位合作。我們與國際刑警組織的合作關係以及最近協助歐洲刑警組織處理Gameover Zeus都說明了這一點。一個可以說明我們的合作的確有所必要的獨特案例是SpyEye。趨勢科技研究人員揭露了早在2011年1月就開始的SpyEye相關網路犯罪攻擊行動。這攻擊行動是由位於俄羅斯的「Soldier」(網路犯罪分子的代號)所策劃。趨勢科技研究人員自2011年3月開始就一直在監視Soldier和他的活動。根據調查,這波攻擊主要針對美國的使用者,受影響的包括一些大型企業和像美國政府和軍事機構等單位。事實上,有97%的受影響公司都位在美國。美國聯邦調查局成功起訴了在俄羅斯特維爾的「Gribodemon」Aleksandr Panin,因為他2014年1月在多明尼加度假。
只有透過全球合作才可以讓我們防禦企業來面對網路攻擊。現代的迪林傑黑幫不再會是「所向無敵」。
更多資源:
DTCC 最近發表了關於網路威脅和系統性風險狀態的簡報,也發表了一份白皮書來強調一些解決未來網路威脅的建議。你可以到這裡下載白皮書。
@原文出處:Modern Day Dillinger Gangs作者:Tom Kellermann(趨勢科技網路安全長)
