網銀木馬偽裝成Google Chrome安裝程式
趨勢科技最近發現一些可疑的網址,顯示有個檔名為ChromeSetup.exe的惡意檔案放在類似Facebook和Google的網域。
這個經由趨勢科技主動式雲端截毒服務 Smart Protection Network資料分析處理後所標示出的發現的確引起了我們的注意。
從趨勢科技主動式雲端截毒服務 Smart Protection Network的資料來看,我們可以找到三個不同的二進制檔案似乎可以從下列網址下載:
- hxxp://br.msn.com/ChromeSetup.exe
- hxxp://www.facebook.com.br/ChromeSetup.exe
- hxxp://www.facebook.com/ChromeSetup.exe
- hxxp://www.globo.com.br/ChromeSetup.exe
- hxxp://www.google.com.br/ChromeSetup.exe
- hxxp://www.terra.com.br/ChromeSetup.exe
當我們仔細檢查了下載狀況,趨勢科技發現,所有下載都被重新導到兩個不同的IP地址,而不是這些網域的合法IP地址。更值得注意的是,可以看到客戶端來自於拉丁美洲,絕大多數來自巴西和秘魯。針對ChromeSetup.exe所做的檔案分析結果來看,這是個被偵測為TSPY_BANKER.EUIQ的多重組件銀行木馬。
一旦在系統上執行,TSPY_BANKER.EUIQ會將受感染系統的IP地址和作業系統名稱等資訊送到一個特定的IP地址。它同時也會下載一個設定檔,包含了當使用者想要連上某些銀行網站時,將其重新導向到假銀行網頁的資訊。
當使用者打開目標銀行網站時,TSPY_BANKER.EUIQ會劫持網頁請求,並顯示以下消息,騙使用者以為這網站要加載安全軟體,實際上是將使用者重新導到偽造的銀行網站:
然後它會打開Internet Explorer,根據瀏覽器標題連到新的連結。下面是一個假網站的截圖。請注意有「_」出現在視窗標題跟銀行網站網址:
另一方面,TSPY_BANKER.EUIQ的組件TROJ_KILSRV.EUIQ會去移除一個軟體 – GbPlugin,這是用來保護巴西銀行客戶進行網路銀行交易的軟體。它透過gb_catchme.exe來進行,這是個來自GMER的合法工具,稱為Catchme,原本是用來移除惡意軟體。但是在這案例裡被壞人用來做為惡意的工具。