銀行木馬 DYRE/Dyreza 惡意軟體帶著新感染技術回來了:現在它會利用微軟 Outlook 來散播惡名昭彰的 UPATRE 惡意軟體來針對更多的目標銀行。
去年10月,趨勢科技看到 CUTWAIL 垃圾郵件殭屍網路所產生的 UPATRE-DYRE惡意軟體感染高峰,其模式和 ZeuS變種GAMEOVER 所使用的散播技術類似。DYRE最近修改其設計和結構,改進了散播和躲避安全軟體等技術,也讓趨勢科技將它放入了2015年值得注意的惡意軟體觀察名單上。
新的 DYRE感染鏈
DYRE通常會UPATRE下載程式(偵測為TROJ_UPATRE.SMBG,透過垃圾郵件附加檔案抵達)來進入使用者的系統。
圖1、帶有UPATRE下載程式的垃圾郵件樣本
本部落格發表一篇關於詐騙網站誘騙使用者購買熱門巴西世界杯足球賽門票的文章。最近又有另外一種威脅利用世界杯足球賽作為社交工程(social engineering )誘餌,這一次是銀行木馬程式。
銀行木馬程式在拉丁美洲相當盛行,所以此種威脅也很及時地去利用世界盃的熱潮。一線上票務網站的客戶會收到一封電子郵件,內容是提供抽獎的機會。然而,令人驚訝的是,這郵件內包含收件者的個人資訊 – 收件者註冊時所輸入的相同資料。見下方郵件截圖:
圖一:郵件內容聲稱收件者可參加世界杯門票抽獎,透過點入連結開始。 繼續閱讀
作者:趨勢科技全球安全研究副總裁Rik Ferguson
在2013年,所有媒體和資安研究的焦點都放在目標攻擊的狀況,以及有越來越多組織成為這類攻擊的犧牲品。你可能會認為傳統的使用者層級攻擊活動已經開始勢微了。那你就錯了,而且大錯特錯。
網路犯罪分子的目的還是為了要錢,他們不會管是透過針對商業活動的目標攻擊,還是大量散佈的垃圾郵件(SPAM)活動。他們會在任何可以找到的肥沃土地播下金融惡意軟體的種子。
去年銀行惡意軟體入侵電腦將近100萬次,且不斷開發”新市場”
趨勢科技在2013年看到銀行惡意軟體用著自2002年後就未曾見過的成長速度在散播著。趨勢科技在這一年裡攔截銀行木馬入侵使用者的電腦將近100萬次。分開來看,2013年的前三季分別是113,000次到220,000次之間,而在最後一季高達了537,000次。罪犯不僅是增加了攻擊數量,同時也在不斷擴大攻擊範圍。
我們看到在某些國家數量的大幅增加,如日本和巴西躋身到前四名,並且也加入了新的目標,包括澳州、法國和德國。日本一般來說不是會出現大量銀行惡意軟體的國家,但我們在2013年第三季和第四季在那裡看到大量而廣泛的ZeuS攻擊活動。
在開發新「市場」之餘,銀行惡意軟體也在開發新技術。特別是在巴西,趨勢科技看到惡意CPL檔案(微軟Windows的控制面板檔案)數量顯著地在增加,內嵌在RTF文件檔裡,和我們之前比較熟悉的傳統附加為ZIP和RAR檔案來傳遞有所不同。
2013年勒索軟體年成長一倍,平均每季超過兩萬起攻擊
不過這還不是全部的銀行惡意軟體。而且去年還有一個地方有著大量回報,那就是勒索軟體 Ransomware體,特別是Cryptolocker。趨勢科技客戶偵測到的勒索軟體總數跟前年相較起來增加了一倍,每季平均約偵測到22,000起。當你考慮到每名受害者可能要支付高達300美元或等值貨幣以重新取得自己的資料,這顯然成為網路劫匪頗具潛力的收入來源。
Cryptolocker本身就是一種現有勒索軟體 Ransomware的進化,它改善了加密技術,使用更有效的尋找和加密動作。會在本地端將檔案處理的更難解析,Cryptolocker同時也會找到網路硬碟上的檔案加以加密。不再依賴於簡單的共享密碼來解密付贖金的檔案或系統,Cryptolocker使用公鑰加密,加上非常有效的密鑰長度,讓加密過的檔案幾乎不可能回復。這會讓更多受害者願意去交出現金來換回對自己非常重要的數位寶物。這時候就必須要考慮建置有效而定期的備份解決方案,比以往任何時候都更加重要。 繼續閱讀
前幾日美國司法部宣布惡名昭彰的SpyEye銀行惡意軟體作者 – Aleksandr Andreevich Panin(又名Gribodemon或Harderman)已經為製造和散佈SpyEye而認罪。趨勢科技在這次的調查中扮演關鍵角色,和美國聯邦調查局合作這個案子很長一段時間。各團體都花費相當大的力氣來讓此次調查活動可以圓滿結束。
我們的調查
Panin的共犯之一是Hamza Bendelladj,,他的暱稱是bx1。Panin和Bendelladj都參與建立和設置各SpyEye網域和伺服器,這也是趨勢科技獲得這對犯罪伙伴資訊的來源。雖然SpyEye的建立僅僅有很少的文件公開,我們還是仍然能夠拿到這些文件並取得文件中的資訊,其中包括(比方說)伺服器控制者的電子郵件地址。
我們將這些設定檔所取得資料和我們在其他地方所收集到的資料進行關聯。例如我們潛入各個已知Panin和Bendelladj會訪問的地下論壇。只要閱讀他們所貼出來的文章,他們會在不經意間透露像電子郵件地址、ICQ號碼或Jabber號碼等資訊,這些都是可能揭露他們真實身份的資料。
例如,我們發現了C&C伺服器lloydstsb.bz也和SpyEye程式和設定檔有關。解密過的設定檔包含了代碼bx1。該伺服器上的設定檔也包含了電子郵件地址。第二個設定檔(也用了bx1)被發現含有virtest的登錄憑證 ,這是網路犯罪份子所使用的偵測測試服務。所有的資料都被趨勢科技用來幫助美國聯邦調查局找出他的真實身份。
圖一、設定檔
接下來在地下論壇的貼文顯示Bendelladj和SpyEye的關連比他所公開宣稱的還要更深入:
圖二、地下論壇貼文
下圖顯示出各種不同網站、電子郵件地址和Bendelladj所使用惡意軟體間的關聯:
圖三、此圖顯示各網站、電子郵件地址和惡意軟體間的關係
一個值得慶祝的消息,俄羅斯特警隊在俄羅斯逮捕了八個人。Gary Warner(阿拉巴馬大學伯明罕分校)在他的部落格內針對這個逮捕事件有篇很棒的文章,所以我在這裡就不再重複細節了。
雖說如此,我還是想說這是另一個很好的例子,顯示民間企業研究單位和國際執法組織之間如何進行跨國合作。趨勢科技希望在未來我們可以看到更多像這樣的例子,讓那些可惡的網路犯罪分子不再以為他們躲在法律鞭長莫及的地方。
網路犯罪分子不該認為他們可以隱藏在任何特定國家或司法管轄區域,而且因為國際法律的差異而避免被起訴。這起事件,還有最近在東歐的逮捕事件,都顯示了執法單位的跨國行動還是可以逮到他們。
就像Warner教授的部落格中所提到,趨勢科技的威脅研究部門在幾年前就對CARBERP做了相當的研究,特別是深入地去舉出被當做目標攻擊的受害者。趨勢科技看到了在政府單位、產業界、學術界都有被當成目標攻擊的受害者,而且有許多的受害者銀行帳戶在不知不覺中被竊取了金錢。
CARBERP是一個特別討厭的銀行木馬,可以在沒有管理員權限下安裝,也能有效地躲過Windows 7和Vista的使用者帳戶控制(UAC)功能。
雖然CARBERP的數量跟普及程度看起來還不及ZeuS和SpyEye,但自從CARBERP在2009年下半年出現開始,趨勢科技看到了數量一直在穩定的成長(見圖1)。
此外,根據趨勢科技的記錄顯示,幾乎有四分之一的CARBERP病毒感染發生在德國(見圖2)。