行動裝置銀行木馬程式,不光只是竊取帳號密碼而已

趨勢科技2016 年發現的行動裝置銀行木馬程式絕大多數都出現在俄羅斯,事實上,這占了我們全球偵測數量的 74%。其他受害較嚴重的國家還有:中國、澳洲、日本、羅馬尼亞、德國、烏克蘭及台灣。根據我們所發現及分析的樣本數據,它們最活躍的期間是第四季。

2016 年偵測到的行動銀行木馬程式新樣本數量。

 

Svpeng :銀行木馬程式與勒索病毒 Ransomware的合體

目前我們發現的銀行木馬程式家族有 15 個以上,其中:FakeToken (ANDROIDOS_FAKETOKEN)、Agent (ANDROIDOS_AGENT)、Asacub (ANDROIDOS_ASACUB) 和 HQWar (ANDROIDOS_HQWAR) 就囊括了絕大部分的版本及樣本。不過,2016 年最受矚目的卻是 Svpeng (銀行木馬程式與勒索病毒 Ransomware的合體),在我們所發現的感染與攻擊案例當中,約有 67% 都是 Svpeng。
Continue reading “行動裝置銀行木馬程式,不光只是竊取帳號密碼而已”

12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法

你在擁擠的馬路上行走時會小心扒手,那在網路呢?

網路銀行提供了許多便利性,也帶給詐騙份子可乘之機,為了避免Google的索引雷達,網路銀行扒手沒有註冊任何主機名稱/網域;他們假裝來自正常銀行的網路釣魚是用來獲取敏感資料;利用間諜軟體竊聽網路封包;甚至會試圖置換某些銀行的聯絡電話成攻擊者所控制的惡意號碼….

以下是一些攻擊者使用過並繼續讓許多網銀用戶存款人間蒸發的著名銀行木馬列表:

 

ZBOT(又名ZeuS): 監視使用者的瀏覽狀況以觸發攻擊

ZBOT是公認透過 HTTP POST 到遠端網址來收集資訊。網路犯罪分子可能會用取得的資料來從受害者身上竊取金錢或到地下市場出售。此外,一旦電腦受到感染,它也會成為「Botnet傀儡殭屍網路」網路的一部分。

2011年,ZBOT的原始碼在檔案分享網站流傳,並且在地下論壇迅速地蔓延。在ZBOT問世後幾年,許多網路犯罪分子利用它的程式碼來建立具備類似功能的變種。ZBOT變種常會出現意想不到的行為,像是結合檔案感染型病毒,有些變種還會透過點擊付費(per-pay-click)模式收錢。

有些ZBOT變種會調整行為來躲避偵測,包括使用隨機標頭和不同副檔名,還會改變其加密方式。此外,它也加強其連到C&C伺服器的方法,像是使用Tor和點對點網路。

 

GOZI利用螢幕擷取和鍵盤側錄功能,取得登錄認證

GOZI銀行木馬是會監視網路流量的間諜軟體。利用其螢幕擷取和鍵盤記錄功能,它可以取得存在瀏覽器和郵件應用程式的登錄認證。GOZI利用Rootkit組件來隱藏相關進程、檔案和註冊表資訊。

在2015年9月,拉脫維亞的Deniss Calovskis在美國聯邦法院承認關於製造和散播網路銀行木馬GOZI的罪名。他在2015年2月從家鄉引渡到美國,Calovskis面臨60年以上的求刑,但認罪可能讓它大大縮短至10年再加上巨額罰款。  Continue reading “12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法”

如何用一組密碼管理你所有的網站密碼?

在手機上瀏覽網站、線上購物、網路銀行等都需要登入網站,所以很多人會根據網站的類別不同來設定不同的登入密碼,避免因為一組密碼外洩,導致自己全部的隱私都外洩,除了造成個人的損失外,也可能被詐騙集團利用個人資料被當作人頭。所以不同網站有不同的登入密碼,確實在安全管理密碼上非常好的觀念。

但隨著註冊使用的網站變多或者時間久了,常常就會開始忘記自己在某個網站的登入密碼是什麼?所以該怎麼做呢? Continue reading “如何用一組密碼管理你所有的網站密碼?”

知名網路竊盜案鎖定銀行 SWIFT 系統

前一陣子, 孟加拉、 越南厄瓜多等地的銀行遭網路犯罪集團洗劫,引起了許多報導與討論。這三起搶案都牽涉到「環球銀行金融電信協會」(Society for Worldwide Interbank Financial Transfers)的 SWIFT 系統,這是一個全球金融銀行機構彼此溝通訊息與交易指示的系統,該協會擁有超過 10,000 家會員,涵蓋銀行、證券、外匯、投資等等金融相關機構。前述知名的攻擊事件讓人不解的是,為何駭客能夠進入這些銀行並取得交易及匯款的授權?他們使用了什麼工具?金融機構需要甚麼安全機制才能偵測這些可疑的活動?

越南 Tien Phong Commercial Joint Stock Bank 在去年底所發生的這一起精密的網路竊盜案,其背後的駭客使用了專門用來攻擊 SWIFT 訊息網路的工具,並且會修改 SWIFT 訊息來竊取匯款。此外,歹徒似乎非常熟悉 SWIFT 系統以及銀行如何使用這套系統,包括銀行的作業方式在內。這一點從歹徒知道如何利用 Foxit 閱讀器這個免費的 PDF 編輯、檢視、製作工具來針對這家越南銀行進行社交工程攻擊就能看出,透過事先的偵查,歹徒知道這家銀行的作業當中會用到這項 PDF 閱讀器。

全球遭到攻擊有八家銀行 (其 SWIFT 代碼都記錄在惡意程式內),其中有六家都是位於亞太地區,另兩家則分別位於美國和歐洲。我們相信,這麼多攻擊目標集中在亞洲絕非巧合,或許,這些網路犯罪集團非常了解亞洲地區的銀行生態以及銀行在網路安全方面的困境。儘管亞洲地區的銀行已著手針對安全進行一番大幅改革,但 依然落後美國和歐洲的銀行,有些區域性的銀行即使意識到安全的重要性,但仍並未編列足夠的預算或投資一些更安全的技術和解決方案。某些亞洲國家更缺乏跨國界的協調機制,因而造成打擊網路犯罪上的阻礙。根據 2015 年的一份 研究顯示,亞洲地區還有一項弱點,那就是公私部門缺乏合作,難以解決網路安全的問題。

歹徒不留痕跡

趨勢科技仔細研究了一下歹徒攻擊越南銀行所使用的工具 (也就是我們偵測到的 TSPY_TOXIFBNKR.A)。當該工具在銀行使用 SWIFT 系統的電腦上執行時,可提供三項主要功能。首先,它可透過修改 PDF 檔案中的 SWIFT 訊息來篡改銀行交易,不過,由於此惡意程式是假冒成 Foxit 閱讀器,因此它必須成為系統預設的 PDF 開啟程式才能奏效,或者由使用者手動利用這工具來開啟含有 SWIFT 訊息的檔案。其次,惡意程式可將其所有活動痕跡刪除,包括嘗試修改失敗的痕跡,此外,它所刪除的資料還包括銀行進出交易的記錄檔。最後,它會記錄並詳細說明其活動。下圖顯示該程式的感染運作過程,目前我們仍在監控這項威脅,看看它是否有任何進一步的發展或額外的發現。

 

圖 1:ITSPY_TOXIFBNKR.A 感染運作過程。

如何降低風險 Continue reading “知名網路竊盜案鎖定銀行 SWIFT 系統”

銀行惡意軟體 SpyEye作者被判九年有期徒刑

 

 

銀行惡意軟體 SpyEye 的作者Aleksandr Andreevich Panin因為製作及散布SpyEye而被判處九年半的有期徒刑。這是Panin在2013年被逮捕以來的最新發展。在2014年初,他已經對製作及散布SpyEye的控訴認罪。

那次逮捕行動是美國聯邦調查局與趨勢科技加上其他執法單位和產業夥伴所共同合作的結果。趨勢科技所提供的資訊(如網路暱稱及所用帳號)被用來找出惡意作者Panin及其同夥的真實身份。

 

SpyEye以竊取銀行及金融網站使用者資料而臭名昭著

SpyEye一開始是以「ZeuS殺手」的身分嶄露頭角。傳言是能夠在殭屍網路戰爭中與ZeuS/ZBOT較量的惡意軟體。跟ZBOT一樣,SpyEye以竊取銀行及金融網站使用者資料而臭名昭著。它還具備了rootkit能力,讓惡意軟體的程序和檔案不被受害者所察覺。

自從其出現開始,好幾個版本的惡意軟體出現肆虐。一個重大轉折發生在ZeuS作者(被稱為「Slavik」或「Monstr」)離開了網路犯罪世界,並將ZeuS原始碼交給了Panin(被稱為「Gribodemon」或「Harderman」)。

 

趨勢科技協助 FBI 成功起訴 SpyEye惡意軟體作者

趨勢科技一直參與對SpyEye的相關調查直到Panin被逮捕。在2011年,我們披露一次調查所得到的發現:一起網路犯罪(稱為「Soldier」)使用SpyEye在六個月內獲得超過320萬美元。這起攻擊主要是針對美國使用者,而某些大型企業和機構(如美國政府和軍方)也受到影響。

Panin遭受逮捕以及被判刑是對Panin及其同夥(Hamza Bendelladj,又被稱為「BX1」)動向調查所產生的結果。比方說,趨勢科技的研究人員滲透了Panin和Bendelladj都會去的地下論壇。他們的貼文會在不經意間透露其電子郵件地址、ICQ號碼或Jabber號碼等資訊 – 這些資訊都可能透露出他們的真實身份。 Continue reading “銀行惡意軟體 SpyEye作者被判九年有期徒刑”

專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?

網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年, ZeroAccess  的破獲行動,減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例,但過沒多久,其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況,儘管警方在 2015 年 10 月 查獲 了它多個幕後操縱 (C&C) 伺服器,但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢,並且在去年的 年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件,誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案,感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

駭客 攻擊 入侵

DRIDEX 之所以無法斬草除根,主要有兩大原因:第一,其殭屍網路的派送機制效率很高,因此擁有廣大的受害者;第二,其不易斬草除根的點對點 (P2P) 網路基礎架構,讓它很快就能恢復營運。除此之外,根據我們推測,DRIDEX 目前也在 網路犯罪地下市場上兜售, 因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。 Continue reading “專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?”

當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。

信用卡 網路銀行 線上購物 刷卡 手機平板 online bank

 

第二天,你發現你的手機無法識別你的密碼。你不知道誰變更了它或這如何發生,因為你沒有將手機借給任何人。你嘗試了幾個密碼組合,但你的手機都不認得。只剩下幾次猜測正確密碼的次數就會觸發手機內容清除。當你花上整天試著想要解鎖手機時,有人已經清空了你的銀行帳戶。

Emmental 銀行交易犯罪行動 ,允許遠端攻擊者用簡訊即時發出指令,包括重設手機密碼

在2014年,趨勢科技發現了「Emmental 行動」,這是個利用惡意應用程式攔截簡訊以劫持使用者銀行交易的網路犯罪行動。最近,我們的研究人員發現上述行動所用的惡意應用程式也能夠讓遠端攻擊者用簡訊即時發出指令,包括重設手機密碼。此動作可以將使用者暫時鎖在設備主畫面外,這或許是種緩兵之計,好讓詐騙交易暗地進行。

 

假 OTP產生程式

跟之前用在Emmental行動的應用程式類似,最新版本偽裝成會生成一次性密碼(OTP)的銀行應用程式。我們所看到的最新樣本偽裝成來自奧地利的地方銀行:

圖1、假OTP產生程式截圖

 

實際上,「密碼」只是從一靜態列表中隨機選出。

Continue reading “當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動”

如何確定你連上的是官方網路銀行應用程式?

每兩個銀行應用程式,就會出現一個惡意或潛在有害「木馬化」或「重新打包」的假銀行應用程式

當你在Android手機上使用網路銀行時,你認為銀行自己的應用程式是安全連接你帳戶的最佳方法。這的確是 – 如果它真是銀行自己的應用程式。

但如果它不是呢?萬一它是假的?而且你要怎麼知道?

在2013和2014年,有超過4000名韓國行動銀行的使用者被誘騙觀賞電影「名嘴出任務(The Interview)」,不知不覺下載了假應用程式,從他們的帳戶中吸走了數百萬 – 這可以從趨勢科技行動威脅團隊的Simon Huang發表於2015年的白皮書「韓國假銀行應用程式騙局」中看到。

這些應用程式由來自中國吉林省延邊的惡意集團所製造。它們看起來和運作起來就跟真的一樣,但卻會偷走使用者資料,包括手機號碼、帳戶名稱和號碼以及登錄憑證,這些只是從使用者帳戶中竊取金錢的前奏。
【延伸閱讀】中國「延邊幫」以行動裝置惡意程式偷走南韓網銀用戶數百萬美元

 

這問題在發展中國家很嚴重,特別是無法訪問Google Play的地方,那裡的使用者必須從無法確保自己網站沒有假銀行應用程式的第三方商店來安裝應用程式。結果呢?根據趨勢科技的行動應用程式信譽評比服務(MARS)所收集的資料,每兩個銀行應用程式,就會出現一個惡意或潛在有害「木馬化」或「重新打包」過的假銀行應用程式。 Continue reading “如何確定你連上的是官方網路銀行應用程式?”

銀行惡意程式持續肆虐,PC-cillin 2016新增網路交易憑證偵測功能,線上轉帳、購物更放心

銀行惡意程式持續肆虐 台北資訊月超值回饋 現場加贈多重好禮 獨家優惠錯過可惜

【2015年11月23日台北訊】每年年底最重要的資訊消費展「台北資訊月」,即將在十一月二十八日至十二月六日於台北世貿展覽館盛大展出。全球網路安全領導品牌趨勢科技年度產品「PC-cillin 10 – 2016雲端版」,獨家雲端截毒技術提供領先業界平均50倍的防禦速度並擁有全球最高病毒攔截率99.8%,更率先支援微軟最新窗戶Windows 10作業系統,傲視全球。在資訊月期間為回饋消費者,趨勢科技團隊祭出誘人現購優惠,眾多超值獨家贈品只在台北資訊月攤位(攤位號碼:世貿一館D814、B826),千萬別錯過!

趨勢科技產品行銷經理朱芳薇表示:「線上金融交易、網路銀行服務早已是行動社會中不可避免的經濟活動,在消費者習慣於跨平台及跨裝置的上網使用習慣之下,惡意程式威脅,也不斷衍伸變種以增加資安攻擊的成功率。從趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的資料顯示, 自2014年十月起DRIDEX此銀行惡意程式即透過惡意電子郵件開始危害網路銀行的使用者,在過去三個月內於美國、英國及日本受感染的使用者占全部感染數45%以上,台灣也列入受害國家之中。面對不斷進化的資安威脅,『PC-cillin 10 – 2016雲端版』不僅提供跨平台防護及保護社群隱私,針對民眾重視的網路金融安全,更新增網路交易憑證偵測功能,幫助用戶辨識假冒的SSL網站安全憑證,提升網路交易安全性有效保護重要個資與財產,讓資安防護再上一層樓,民眾得以安心享受數位生活。」

 

Continue reading “銀行惡意程式持續肆虐,PC-cillin 2016新增網路交易憑證偵測功能,線上轉帳、購物更放心”

惡名昭彰的網路銀行惡意程式-DRIDEX,尚未出局

今年 10 月 13 日,美國和英國執法單位對惡名昭彰的 DRIDEX殭屍網路採取行動,希望能終止這項知名的網路銀行威脅。美國賓夕法尼亞州西區律師 David J. Hickton 稱這次的行動為「技術性中斷及打擊全世界最惡劣的惡意程式威脅之一。」
延伸閱讀FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

英國國家打擊犯罪局 (National Crime Agency,簡稱 NCA) 則稱此行動為「一項針對 Dridex 各版本及其幕後集團永久、持續的打擊行動,這些集團都躲藏在世界上難以發現的角落。」

雖然這項行動已經將 DRIDEX 擊倒,這離消滅它還很遠。在 DRIDEX 遭到破獲之後,趨勢科技估計受害使用者的數量已經降到破獲之前的 24%。這是根據 DRIDEX 感染數量在破獲前一星期和破獲後一星期的比較結果。

在深入觀察這項數據之後,我們發現受害者的分布情況也出現些許變化。尤其,美國的受害者數量大幅下降,從原本的將近 30% 降至不到 14%。

圖 1:受害者分布 (破獲前)台灣也列入其中 Continue reading “惡名昭彰的網路銀行惡意程式-DRIDEX,尚未出局”