趨勢科技最近發現一個新的銀行木馬針對了數家韓國銀行。這並非首例:在2013年六月,我們就看到數個網路銀行威脅擴大其活動範圍,並且利用各種技術鎖定韓國銀行。
在監控類似威脅的過程中,我們注意到一波針對韓國銀行的新銀行木馬攻擊,包括會利用Pinterest作為指揮與控制(C&C)頻道。
透過惡意iframe注入來加以感染
此威脅目前的影響範圍是韓國使用者,會利用淪陷網站來導致漏洞攻擊包。在11月中,我們發現一次感染的感染鏈會牽涉到多個惡意網站。
為了將攻擊到使用者,惡意份子首先會淪陷正常網站並注入iframe。它會將使用者導到放置漏洞攻擊包的第二個淪陷網站,其會植入銀行木馬到使用者系統內。趨勢科技將其偵測為TSPY_BANKER.YYSI。
一旦這惡意軟體出現在受影響系統上,使用IE瀏覽器連上特定銀行網站的使用者會被自動導到惡意網站。該網站包含了要求使用者輸入銀行認證資訊的網路釣魚(Phishing)網頁。使用其他瀏覽器連到網站的使用者則不受影響。(因為韓國法規要求,韓國使用者一般都會用IE瀏覽器來訪問本地銀行網站。)
圖一、比較真正的銀行網站與假冒的銀行網站 繼續閱讀
ONLINEG是個會竊取線上遊戲身份認證的著名間諜軟體,最近也被加入了後門功能。趨勢科技發現一個變種(偵測為TSPY_ONLINEG.OMU)除了有一般的資料竊取行為外,也會下載後門程式到受感染系統上,讓它更容易遭受更多損害。
TSPY_ONLINEG.OMU最近出現在幾個韓國網站上,這些網站都是被入侵淪陷而含有這隻惡意檔案。根據我們的分析,這間諜軟體可能是大約一年前開始出現,被偵測為TSPY_ONLINEG.ASQ的病毒程式的新變種。
跟其他線上遊戲間諜軟體一樣,TSPY_ONLINEG.OMU會竊取特定線上遊戲的帳號和登入資料。但除此之外,如果使用者連上特定產業的網站管理介面登入頁面,就會下載一個鍵盤側錄程式/後門程式(BKDR_TENPEQ.SM)。這讓攻擊者可以竊取這些入口網站的登入認證資料。
這次攻擊所針對的公司都是韓國公司,屬於下列產業:
線上遊戲在韓國的受歡迎程度是眾所周知,因此這次攻擊的幕後黑手會使用TSPY_ONLINEG.OMU並不奇怪。然而,使用ONLINEG也可能是為了要掩飾惡意軟體的真正意圖。因為這個惡意軟體家族「已知」所針對的是網路遊戲竊盜,如果沒有去檢視程式碼,人們可能會低估其潛在的威脅。 繼續閱讀
藉自動更新系統散佈惡意程式 建立殭屍大軍,企業及政府請盡快建置重要主機異動監控機制
【2013年06月26日 台北訊】南韓最高政治中心青瓦台網站於昨日爆發網站遭受駭客攻擊,導致網頁被置換並關閉事件,引起全球矚目。根據趨勢科技全球病毒防治中心Trend Labs的最新研究發現,韓國雲端儲存服務軟體「SimDisk 」伺服器在此波攻擊中疑似遭駭客攻擊並置入檔名為「SimDiskup exe.」的惡意程式,其透過自動更新系統散佈至使用者端,試圖造成大量的感染,成為受駭客控制的網路「殭屍大軍」,進一步發動DDoS 攻擊試圖癱瘓政府網站。
根據趨勢科技Trend Labs最新分析發現,駭客攻擊韓國雲端儲存服務廠商「SimDisk」的伺服器並取得控制權後,即置換「SimDisk exe.」執行檔,並透過自動更新系統散佈一隻名為「SimDiskup exe.」的惡意程式至使用者端,一旦更新下載完成,此裝置將遭惡意程式感染,該惡意程式會連回特定網址接收指令,並下載另一隻名為DDOS_DIDKR.A的惡意程式,以培養網路「殭屍大軍」,並運用這些受感染裝置針對政府網站發動DDoS攻擊,癱瘓目標網站。
