2017050325

银行木马 TrickBot 升级后针对支付处理器与 CRM 提供商设备展开攻击活动

  • 浏览次数 4740
  • 喜欢 0
  • 评分 12345

据外媒 6 月 20 日报道,安全研究人员发现银行恶意软件 TrickBot 在升级后开始针对银行支付处理器(PayPal 贝宝)与客户关系管理( CRM )供应商的系统设备展开攻击活动。

恶意软件 TrickBot 最初于去年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现。据悉,TrickBot 首款样本仅实施单一数据窃取功能。数周后,研究人员在捕获另一批新样本后发现疑似处于测试阶段的 web 注入样例。

调查显示,TrickBot 曾于 2016 年底针对英国与澳大利亚银行,以及亚洲金融机构进行多次攻击。此外,研究人员表示,TrickBot 与 Dyre 存在多数相似之处,虽然新银行木马程序的代码似乎已用不同编码风格进行了重写,但还是存留了大量相似功能。

今年 5 月,TrickBot 已被用于瞄准 20 家私人银行展开攻击活动,其中包括 8 家英国建筑协会、2 家瑞士银行、1 家德国私人银行与 4 家美国投资银行。后续研究人员分析了截止至 5 月份处于活跃状态的 26 款 TrickBot 配置,发现其中涉及两家支付处理与 CRM SaaS 供应商的系统设备。

近期,Fidelis Cybersecurity 研究人员又针对两起影响较为严重的攻击活动进行了检测。结果显示,这两起攻击活动主要针对同一美国支付处理器,但仅有第二起活动是针对 CRM 供应商的系统设备进行攻击。以下是研究人员针对这两起攻击活动的分析结果:

第一起攻击活动:

1、目标银行网址占 83%,其中英国银行占 18%
2、PayPal (归属美国的支付处理器),其中被入侵的 PayPal URL 有 35 个

trickbot15jun17_fig31

第二起攻击活动:

1、英国目标银行占 47%
2、英国新增受感染 PayPal URL
3、CRMs Salesforce.com 与 Reynolds&Reynolds 在美国汽车行业出售 CRM

trickbot-2

目前,研究人员已证实欧洲网络托管提供商的 6 个 C&C 服务器 IP 地址中,有 3 个托管在亚洲运营。此外,所有 IP 地址均使用 443/HTTPS 端口与受感染主机进行通信,以规避安全软件的检测。

原作者:Pierluigi Paganini, 译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

hackernews_foot