标签: 银行木马

TrickBot 银行木马传入我国,专门窃取国外银行登录凭据

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/nh-j3Zv1DTVg_xkIsjlLMQ   一、背景 腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃,黑客在钓鱼文档中嵌入恶意VBA代码,宏代码通过创建和执行CMD脚本以及VBS脚本下载和传播银行木马TrickBot。监测数据显示,该木马已影响我国部分企业,中毒电脑系统信息及访问国外银行的登录信息会被窃取,受TrickBot银行木马影响较严重的地区为浙江,广东,北京等地。 TrickBot在2016年左右被发现,会在受害者通过浏览器访问在线银行时窃取网银信息,攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统,有国外研究者认为该组织已收集了2.5亿个电子邮箱。 TrickBot首次感染系统后,会安装计划任务“Ms visual extension”反复执行木马,然后将恶意代码注入Svchost.exe,下载多个加密的DLL模块,最终将injectdll32(64)注入浏览器进程,捕获与目标银行相关的HTTP请求并复制发送至C&C服务器。 TrickBot攻击流程 二、详细分析 当受害者打开恶意Word文档时,会显示如下图所示界面: 初次打开文档时,Office会提示是否允许宏执行,若选择允许,则文档界面中会提示一条告警消息,但是实际上后台VBA代码正在C:\Resources目录下创建5个后缀为.cmd的文件,然后通过CreateProcessA执行c:\Resources\BC4603BB450B14.cmd。 之后,BC4603BB450B14.cmd创建用于下载文件的VBS脚本pscolor.vbs, 并使用该脚本从https[:]//allpetsandpaws.com/DOYJIABZB.res或 http[:]//rygseminarios.com/egprod40.eof下载nas6.exe。 nas6.exe搜集当前系统CPUID序列号发送至https[:]//magnwnce.com/photo.png?id=,然后从http[:]//149.154.67.19/tin.exe下载Trickbot。 Trickbot重命名自身为“с그의길습을든意すスっジюл.EXE”,并拷贝到%ProgramData%和%Roaming%\swapper\目录下。重命名的文件名包含字母,韩文,中文,日文和保加利亚语,这会导致部分调试器无法加载该文件。 接着将木马安装为计划任务“Ms visual extension”,设置触发器在系统启动时木马执行一次,之后每隔11分钟执行一次。 定时任务触发后,taskeng.exe启动с그의길습을든意すスっジюл.EXE,然后将恶意代码注入子进程svchost.exe继续执行,进程树如下图所示。 TrickBot下载8个模块importDll64(或importDll32) ,injectDll64,mshareDll64,mwormDll64,networkDll64,pwgrab64,systeminfo64,tabDll64。同时下载所需配置文件存放到四个目录injectDll64_configs,networkDll64_configs,pwgrab64_configs,tabDll64_configs下。 systeminfo64负责收集受害者的系统信息,包括其Windows版本、CPU类型、RAM容量、用户帐户、已安装的软件和服务,不同信息字段以符号“aksgja8s8d8a8s97”进行分割并上传至服务器。 injectDll64最终能够将恶意代码注入Web浏览器(IE、Chrome和Firefox)从而窃取受害者的在线银行信息。被注入到svchost.exe执行时,injectDll64会枚举所有正在运行的进程,通过比较进程名来检查它是否是浏览器(包括“Chrome”、“IE”和“Firefox”浏览器)。 在选择一个进程之后,它创建一个命名管道(使用进程ID与一个常量字符串进行组合作为管道的名称),使用这个命名管道在svchost.exe和浏览器之间进行通信,以传输Sinj、dinj和dport的内容,之后InjectDll准备要注入到浏览器中的代码,并调用CreateRemoteThread执行注入。 TrickBot在一个线程中将银行信息(即Sinj、dinj和dpost的内容)传输到浏览器,之后在另一个线程中对WinInet和NSS3API的导出函数上设置钩子,从而利用注入的代码捕获来自浏览器的所有HTTP请求。 本地钩子函数能够使用银行信息对HTTP请求进行进一步的过滤,如果HTTP请求与目标银行匹配,则将该HTTP请求复制并发送到C&C服务器。 三、安全建议 中国国内在线银行系统普遍采用“U盾”来做登录认证、加密网银系统通信,TrickBot银行木马暂不能直接威胁国内网银资金安全,但对于国外银行系统的安全威胁却不容小视。腾讯安全专家建议用户采取以下安全措施,防止受害: 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs IP 149.154.67.19 181.129.104.139 170.238.117.187 Domain allpetsandpaws.com rygseminarios.com URL https[:]//allpetsandpaws.com/DOYJIABZB.res http[:]//rygseminarios.com/egprod40.eof http[:]//149.154.67.19/tin.exe http[:]//presifered.com/data3.php md5 c04f5dc534fa5b1acef3c08d9ab3f3cb 1c132ca1ec8b89977c0e3ee28763e3fc 参考链接: https://www.fortinet.com/blog/threat-research/deep-analysis-of-the-online-banking-botnet-trickbot.html https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/(原文已被删,快照可供参考)  

黑客利用乌克兰会计软件开发商官网传播 Zeus 银行木马新变种

据外媒 1 月 6 日报道,黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium ( CFM )的官方网站散布恶意软件,分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取,且具有一定规模的传播范围。 此次攻击发生于 2017 年 8 月乌克兰独立日假期前后,乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ,用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此,攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件,这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器,也没有在早前的 Nyetya 协议中看到相同级别的访问。 在这次攻击中,恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开,Javascript 就会被执行,并导致系统检索恶意软件的 playload,运行后 Zeus 银行木马病毒将会感染系统。 思科 Talos 统计:受Zeus银行木马新变种影响的地区 自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来,其他威胁行为者从恶意代码中获得灵感,将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用: 一旦在系统上执行,恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下,那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项,以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染,恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。 研究人员表示,大多数被恶意软件感染的系统都位于乌克兰和美国,乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。 研究人员称越来越多的攻击者试图滥用受信任的软件制造商,并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境,攻击者正在不断改进其攻击方法。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

银行木马 Terdot 卷土重现,新添网络间谍功能监控社交媒体敏感信息

据外媒报道,网络安全公司 Bitdefender 研究人员于近期发现银行木马 Terdot 在消失一年后卷土重现,旨在针对目标系统展开新一轮攻击浪潮。知情人士透露,虽然 Terdot 于 2016 年中期就已存在,但该木马再次重现着实引人注意。据称,该木马新添一项网络间谍功能,其主要监控与收集社交媒体账户敏感信息。 Terdot 是一款复杂的模块化恶意软件,其程序虽然主要基于 2011 年泄露的 Zeus 代码开发,但该木马开发人员还是对其进行了一部分修改,例如利用开源工具躲避 SSL 证书检测,并使用代理过滤网络流量后记录用户敏感信息。 调查显示,黑客主要将该银行木马植入有趣的 PDF 图标后通过垃圾邮件针对受损网站进行肆意分发。一旦用户点击触发文件,其系统将会自动运行 JavaScript 代码,从而在受害设备中植入恶意软件并同时向指定 C&C 服务器发送与更新命令。 此外,研究人员经进一步分析发现该木马不仅使用了域生成算法(DGA)规避安全措施检测,还利用了中间人(MITM)攻击操纵多数社交媒体与电子邮件的平台流量,从而实现用户信息拦截功能。安全专家表示现在的 Terdot 已经超越了银行木马 Trojan 的能力,它更专注于针对社交网络和电子邮件服务提供商等其他服务收集证书,研发者也似乎想将其打造成非常强大的网络间谍工具。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客正通过新型技术分发银行木马 Ursnif 感染日本金融行业

HackerNews.cc  10 月 28 日消息,网络安全公司 IBM 研究团队 X-Force 近期发现黑客正通过新型技术肆意分发银行木马 Ursnif,旨在感染日本金融行业、窃取目标用户敏感信息。据称,黑客主要通过网页注入攻击和页面重定向等操作展开网络钓鱼活动。 银行木马 Ursnif(又名:Gozi)首次于 2007 年在英国的一起网络银行诈骗中发现。随后,该恶意软件源代码于 2010 年意外泄露,并被其他黑客重新利用、创建木马,比如 Vawtrak 和 Neverquest。据悉,除北美、澳大利亚和日本之外,黑客此前还一直瞄准西班牙、波兰、保加利亚和捷克共和国的银行开展网络攻击活动。 知情人士透露,为了能在日本大规模分发 Ursnif 有效负载,其黑客以日本金融服务与信用卡支付通知为主题伪造电子邮件,从而分发恶意软件感染目标企业。研究人员表示,该邮件中包含一份 JavaScript 文件(.zip)。一旦用户点击打开,其系统将重定向至另一恶意页面,从而启动 PowerShell 脚本后从远程服务器上获取有效负载,并与 Ursnif 一起感染用户。 值得注意的是,黑客似乎已经将攻击活动的范围扩展到用户本地网络邮件、云存储、加密货币交易平台和电子商务网站等。另外,黑客在近期的恶意软件 Ursnif 的分发时还使用了一种宏规避技术,即用户在关闭恶意文件后,它会再次启动 PowerShell 脚本获取有效负载。研究人员表示,这种技术可以帮助恶意软件规避安全措施检测。 目前,基于安全考虑该事件的研究人员并未发布具体文件信息,而是联系了当地的执法部门继续追查幕后黑手真实身份。此外,研究人员强烈建议受影响的金融行业,其员工不要随意点击未经检验的电子邮件、加强系统防御体系,以便抵御黑客网络钓鱼攻击活动。 原文作者:Hyacinth Mascarenhas,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型 Android 恶意软件 Red Alert 2.0 已感染逾 60 款银行与社交媒体应用

据外媒 9 月 19 日报道,网络安全公司 SyfLabs 研究人员近期发现一款新型 Android 银行恶意软件 Red Alert 2.0,允许黑客窃取用户敏感信息、劫持短信邮件,并阻止与银行、金融机构相关的所有来电呼叫。目前,Red Alert 2.0 已感染 Google Play 商店上超过 60 款银行与社交媒体应用。不过,与其他 Android 木马不同的是,该恶意软件是由开发人员从零开始编写。 如果目标设备的 C&C 服务器被关闭时,该恶意软件可以通过 Twitter 保存所有数据信息。然而,当设备无法连接到硬编码的 C2 时,它可以从 Twitter 帐户中重新检索一台新 C2 服务器进行连接。研究人员表示,这也是他们第一次从移动设备的恶意软件中发现此类银行木马。 SfyLabs 首席执行官兼创始人 Cengiz Han Sahin 表示,虽然 Red Alert 2.0 的开发人员现在只以 500 美元的价格出售该恶意软件,但他们日前仍在为其新添更多功能,包括远程操控受感染设备。目前,该恶意软件主要影响 Android Marshmallow 以及之前版本。由于传播 Red Alert 2.0 的所有应用都托管在第三方 Android 应用商店,因此为保障用户系统安全,研究人员强烈建议用户仅从 Google Play 商店下载合法应用程序。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 Emotet 使用频率激增,感染 Windows 系统窃取客户银行凭证

据外媒 8 月 11 日报道,网络安全公司 SophosLabs 研究人员近期发现银行木马 Emotet 使用频率显著增加,旨在感染目标企业 Windows 操作系统窃取客户银行凭证。 Emotet 是一款银行木马,首次于 2014 年被趋势科技( Trend Micro )研究人员发现,其主要以 “ 嗅探 ” 网络活动窃取用户敏感信息闻名。 调查显示,银行木马 Emotet 在此次攻击活动中主要通过垃圾邮件进行肆意传播。据悉,该木马通常夹杂在一个恶意 Microsoft Word 文件中。一旦用户打开,就会自动从承载该软件的多个互联网域名中下载 Emotet。此外,黑客还通过创建存储恶意软件的新 URL 规避安全软件检测。 目前,研究人员尚不清楚在最近的感染事例中,哪些国家的 Windows 操作系统是其主要目标,也并未提及具体受害者人数的统计数据。总而言之,这意味着用户在使用 Windows 操作系统时要以往更加小心恶意软件 Emotet。因此,研究人员提醒用户及时更新软件至最新版本、不要轻易打开未知名电子邮件、关闭网络文件共享功能并确保用户没有默认使用管理员权限。 原作者:Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

手机银行木马新时代:Svpeng 通过无障碍访问服务窃取用户敏感数据

据外媒报道,卡巴斯基实验室研究人员于7月中旬发现手机银行木马Svpeng新添键盘记录功能,允许黑客通过无障碍访问服务窃取用户敏感数据。 无障碍访问服务通常为残疾用户或暂时无法与设备完全交互的用户提供用户界面(UI)。倘若黑客滥用此系统功能,不仅能够从设备上的其他应用程序中窃取敏感数据,还可获取管理员权限。此外,该木马新增功能还具备卸载拦截功能。 相关数据表明,尽管当前黑客尚未大范围部署 Svpeng,但受害目标却跨越 23 个国家,其中多数受害用户位于俄罗斯(29%)、德国(27%)、土耳其(15%)、波兰(6%)与法国(3%)。值得注意的是,即使大部分受害用户位于俄罗斯,但该木马程序并不会在俄语设备上运行,因为这是俄罗斯黑客规避侦查与逮捕的标准策略。 Svpeng 恶意软件家族一向以创新闻名。自2013年以来,Svpeng 是首批攻击银行短信业务的木马软件,允许黑客利用网络钓鱼页面覆盖其他应用程序的方式窃取登录凭据、屏蔽系统设备并盗取银行账户资金。2016年,黑客通过 AdSense 与 Chrome 浏览器漏洞肆意传播恶意木马Svpeng,使其跻身高危手机恶意软件行列。 有趣的是,一旦设备感染 Svpeng 后,该木马就会自动检测设备运行语言,如果不是俄语,设备将会立即通过无障碍服务访问其他应用程序的用户界面并窃取敏感数据。此外,每当用户使用键盘按键时,该木马都会截图并上传至恶意服务器。 近期,研究人员从 Svpeng 命令与控制服务器( CnC )拦截到一个加密配置文件,解密后可查找受攻击的应用程序,进而获取钓鱼网址。据悉,该配置文件中不仅包含用于 PayPal 与 eBay 移动应用的钓鱼网址,还包括一款手机赚钱软件应用 Speedway。 目前,黑客还通过在恶意网站上伪造闪存播放器的方式传播木马 Svpeng。据称,该木马甚至可以在最新 Android 版本与安装更新的所有设备上运行。研究人员表示,黑客仅需访问其中一个系统功能,即可获取所有必要的附加权限。 原作者:Roman Unuchek, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型攻击技术:网络犯罪分子采用 PowerPoint 演示文稿传播恶意软件

据外媒 6 月 5 日报道,安全专家近期发现网络犯罪分子正利用一种新型攻击技术传播恶意软件,即通过 PowerPoint 演示文稿诱导用户在系统中下载执行恶意代码。 据悉,网络犯罪分子利用目标受害者鼠标的悬停操作自动执行恶意 PowerPoint 文件中所附带的 PowerShell 代码。目前,名为 “ order.ppsx ” 或 “ invoice.ppsx ” 的附件正通过垃圾邮件传播,其邮件主题包括 “ 采购订单#130527 ” 与 “ 确认函 ” 等。 调查显示,当用户打开 PowerPoint 演示文稿时会看到标注 “ 正在加载……请等待 ” 字样的蓝色超链接。如果用户将鼠标悬停在该链接上,即使不点击也会触发 PowerShell 代码执行操作。一旦用户打开该文档,PowerShell 代码就会被连接至 “ cccn.nl ” 域名并下载执行负责传送恶意软件程序的文件。 安全研究人员表示,用户设备中受视图保护的安全功能会通知用户操作风险,并提示用户启用或禁用该项操作。此外,SentinelOne 研究人员在分析此次攻击活动时还观察到网络犯罪分子利用该技术传播银行木马 Zusy、Tinba 与 Tiny Banker 新变种。 原作者:Pierluigi Paganini,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Nuclear Bot 木马源码泄露,或将引发针对银行服务的大规模攻击

研究显示,任何恶意程序的源码在线泄露后,都会引发大量非技术网络犯罪分子对用户发起恶意攻击。近期,新型木马 Nuclear Bot 源码在线泄露,或引发针对银行服务的攻击指数上升。 2016 年 12 月,Nuclear Bot 以 2,500 美元价格首次在网络黑市中出售。该恶意软件不仅可以从 Firefox、Internet Explorer 或 Chrome 打开的网站中窃取信息,还能利用本地代理或隐藏的远程桌面服务。这些是银行木马最常见的特征,攻击者通常试图绕过银行网站的安全检查,以便进行网络欺诈。 IBM 研究人员在过去几个月里一直密切关注着木马 Nuclear Bot 行踪并公开揭露黑客 Gosya 是 Nuclear Bot 木马的创建者。此番做法无疑打破了网络犯罪界的潜在规则,导致该黑客失去原有名望还被打上“骗子”的标签。 IBM 研究人员注意到,该黑客不仅没有向论坛管理员或潜在买家提供软件的测试版本,甚至也未使用同一名称在论坛上传播该恶意软件。如今 Gosya 为恢复网络界的信任选择主动泄漏 Nuclear Bot 源代码。 原作者:Gabriela Vatu, 译者:青楚      本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

智能手机已成黑客攻击的首选目标

据法国法新社 3 月 2 日消息,专家警告称,载有银行数据、信用卡信息和个人地址等数据的智能手机俨然已经成为个人资料库,但这也使其成为网络罪犯的首选攻击目标。国际杀毒软件公司卡巴斯基实验室法国分公司的主管唐吉(Tanguy de Coatpont)在巴塞罗那召开的世界移动通信大会上表示: “哪里的信息有价值,哪里就有网络罪犯的身影。网络罪犯们意识到智能手机已经成为网上购物和支付的首选终端。” 报道称,勒索软件( Ransomware )也已经开始将智能手机作为目标。该软件是一种通过锁住计算机,使用户无法正常使用,并以此胁迫用户支付解锁费用的恶意软件。 专家们在世界移动通信大会上说,现在手机因为能够接触到其用户关键信息,也在受到攻击。英特尔安全事业部法国部门的负责人法比安•雷什( Fabien Rech )表示,网络罪犯的手段已经从用勒索软件攻击智能手机发展为利用窃取的手机银行用户登录凭据的木马病毒软件。他们利用盗窃得来的凭据就可以远程登录受害人的帐户,之后将钱转走。 雷什说:“我们看到越来越多的银行应用程序受到了攻击。” 根据斯洛伐克网络安全公司 ESET 的数据显示,去年全球针对手机银行应用程序的网络攻击频率增加了 17% 。 卡巴斯基实验室的负责人、俄罗斯网络安全专家尤金•卡斯佩尔斯基( Eugene Kaspersky )说,一些年轻网络犯罪分子更擅长利用智能手机。 他说:“我认为前代网络罪犯攻击的目标是个人电脑,而新一代的攻击对象则是智能手机”。 稿源:cnBeta;封面源自网络