更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月4日訊 暗網情報公司 Flashpoint 在2018年5月30日發佈報告表示,臭名昭著的銀行木馬 IcedID 和 Trickbot 背後的殭屍網絡操縱者已經聯合起來,充分利用這兩種木馬騙取受害者現金。
兩大金融網絡犯罪“巨頭”背後勾結
非常棘手的問題是,Flashpoint 公司的研究人員發現感染了 IcedID 的計算機竟然在下載另一款惡意軟件 Trickbot,這是該公司在對 IcedID 惡意軟件的研究過程中首次發現了這種合作,IcedID 和 Trickbot 後面的殭屍網絡操縱者似乎已經將銀行受害者們置於雙重威脅之中。
惡意軟件之間通常相互“排斥”
Flashpoint 的研究主管維塔利·克雷茲表示,在意識到上述情況後,便開始思考和著手研究這種情況發生的原因,IcedID 和 Trickbot 的這種聯合應該是來自惡意軟件的操縱者,而不一定是開發者。 克雷茲表示,惡意軟件通常會攻擊受害者的數據,尤其是在競爭激烈的銀行業市場,例如 SpyEye 惡意軟件就已經被發現在感染機器上卸載類似的 Zeus 木馬。
Trickbot 木馬瞄準多國銀行
Trickbot木馬 從2016年年中開始,Trickbot 已成為一款負責瀏覽器中間者攻擊(man-in-the-browser attack)的木馬病毒。該惡意軟件與 Dyre 銀行木馬具有多種相同屬性,被認為是 Dyre 的繼任者,針對金融機構發動攻擊。Dyre 銀行木馬2015年被俄羅斯警方“消滅”。Flashpoint 公司的研究人員認為,TrickBot 背後的網絡犯罪分子可能十分了解 Dyre 或簡單重用了 Dyre 的代碼。
Trickbot 木馬利用多個模塊(包括洩露的漏洞),針對各種惡意活動的受害者進行攻擊,如加密貨幣挖礦和 ATO 操作的受害者們。
2017年7月,TrickBot 銀行木馬背後的黑客正在對美國銀行發起新一輪攻擊。有殭屍網絡 Necurs助力,TrickBot 新一輪攻擊活動也針對歐洲、加拿大、新西蘭、新加坡等國的金融機構。TrickBot是首個,也是唯一通過重定向計劃覆蓋24個國家的銀行木馬。
IcedID 木馬創建代理能力突出
IcedID 木馬於2017年被 IBM X-Force 研究團隊的研究人員所發現。這款木馬被認為具備多個突出的技術和程序,其中最值得注意的是該木馬創建代理的能力,其創建的代理可用於竊取多個網站的憑證,且主要針對金融服務。
克雷茲表示,IcedID 應該是直接通過電子郵件發送垃圾郵件,然後該惡意軟件就扮演了安裝 TrickBot 的下載器,隨後 TrickBot 又會在受害者的機器上安裝其他模塊。 這兩種惡意軟件結合起來,使用一系列方法和工具從受害者處竊取銀行憑證,包括令牌掠奪者、重定向攻擊和 web 注入。
Flashpoint 公司認為,這樣的攻擊極其複雜。在入侵者實施攻擊的過程中,還有其他的模塊可以讓入侵者深入瞭解受害者的機器,並擴展攻擊的廣度和範圍,進而使他們能夠從已入侵的機器中獲得額外的潛在利益源。 這種雙刃劍的威脅不僅為入侵帶來了一種新的工具力量,而且對於操控者而言,這種合作吸引了更多可開展高效賬戶接管行為的欺詐操控者。
Trickbot 和 IcedID 協作方式複雜
Flashpoint 公司表示,操控負責人可能監管著一個複雜的欺詐者網絡,這些網絡欺詐者們又連接了被這兩種木馬感染的機器。這個操控負責人被稱作 botmaster,負責操作殭屍網絡的命令和控制,以進行遠程程序執行。 同時,克雷茲表示,構成這個欺詐者網絡的不法分子可能只是通過別名相互認識,且都是各自領域內的行家。
Flashpoint 公司還在報告中表示,根據對 TrickBot 和 IcedID 殭屍網絡操作的語言分析和調查表明,這個設計殭屍網絡的互活動屬於一個小組織,該組織負責購買銀行惡意軟件、管理感染流、向項目相關人員(包括流量操控者、網站管理員和 錢騾子)支付款項以及接受洗錢收益等。
事實上,當受害者登錄到被感染系統上相關的銀行頁面時,botmaster 通過後端的“jabber_on”字段接受 XMPP 或 Jabber 通知。
聯合的惡意軟件操作具有執行賬戶檢查(或憑證填充)的功能。該功能可確定受害者機器的價值及其訪問權限,因此,惡意分子可對具有更高價值的目標進行網絡滲透,並利用其他被入侵的目標進行加密貨幣挖礦活動。
隨後,botmaster 可提取受害者的登錄憑證,從而獲取密保問題的答案以及電子郵件地址,然後將這些信息傳遞給真正負責操作的個人。同時,錢騾子們利用這些信息,在受害者所在地的同一金融機構開設銀行賬戶。他們利用該賬戶來接收欺詐賬戶清算所(ACH)和電匯,然後將收益轉發給殭屍網絡的所有者或中間人。
Flashpoint 公司還指出,基於 TrickBot 和 IcedID 殭屍網絡操控者機器共享的後端基礎設施,這些操控者們很可能將繼續展開密切的合作,以便將被盜賬戶變現。
目前,這種攻擊的攻擊範圍和已被盜取的金額尚不清楚。克雷茲預測,未來將有更多的殭屍網絡操控者們開始類似的合作,金融機構將面臨更多的威脅。
閱讀更多 E安全 的文章