銀行大劫案：盤點2017年9大銀行木馬趨勢

概述

在今年的安全新聞中存在一個反覆出現的主題，不知道你想到是什麼沒？沒錯，就是「銀行木馬」，這是網路犯罪分子從受害者身上找到的用於竊取資金和數據的新方法。

與勒索軟體等相對簡單的攻擊不同，銀行惡意軟體需要多個攻擊者共同實現，且發起難度大，難以實現貨幣化。Botezatu表示，銀行木馬的重現及增長可能是由於其他銀行木馬的代碼泄露和勒索軟體市場的過度飽和等因素的共同作用所致。

我們今年看到的很多銀行木馬都會讓人聯想到過去曾經出現過的木馬。另外一些則是以新方式分布的舊威脅，並將攻擊目標瞄準新的受害群體。

Terdot是2016年10月首次出現的一個銀行木馬，據悉，在2011年Zeus的源代碼泄露之後，該銀行木馬就從Zeus銀行木馬的源代碼中獲取了靈感開發而成。IcedID是今年9月出現了另一種新型銀行木馬，其特點與Gozi、Zeus以及Dridex銀行木馬相同。

IBM Security的IcedID執行安全顧問Limor Kessem表示：

總的來說，IcedID與其他銀行木馬類似，但這也是我看到的問題所在。我們很難看到銀行木馬與現有變種完全不同。攻擊者正在相互抄襲，並為其木馬增加了一些新的功能，如反規避技術，以進一步完善惡意軟體。

接下來，小編將帶大家回顧一下2017年銀行木馬攻擊受害者的新方式及其演變趨勢：

2017年9大銀行木馬&趨勢

1. Terdot銀行木馬

Bitdefender的研究人員在2016年10月首次發現了Terdot銀行木馬。該惡意軟體的開發靈感是源自於2011年外泄的Zeus銀行木馬源代碼，該木馬超出了銀行惡意軟體常用的功能，甚至可用於網路間諜活動。

它具有銀行木馬應該具備的所有主要功能：Terdot通過偽裝成PDF鏈接的惡意郵件進行傳播。一旦點擊後，便會迅速感染計算機並創建Web代理以修改事務。 任何受害者發送到銀行的數據都會被實時截獲和修改，此外，該惡意軟體還會攔截並修改銀行的回應。

Terdot還可用於查看和修改電子郵件和社交媒體平台上的流量，收集受害者的財務信息，竊取憑據，在訪問的網頁上注入HTML代碼，以及下載和執行文件。 因為它存在於瀏覽器中，所以它可以無限制地訪問使用該瀏覽器發布的內容。此外，它還可以監視受害者的活動並注入間諜軟體。

Botezatu表示，想要檢測和清除該惡意軟體具有一定的難度，因為它具有確保持久性的模塊，它可以將自己注入到機器上的每個進程中，而這些進程就像是一個個監視器一樣發揮效用。

2. IcedID銀行木馬

2017年11月，IBM X-Force的研究人員報告了一種名為「IcedID」的新型銀行木馬程序，它是9月份首次出現的高級木馬程序。其攻擊目標包括銀行、支付卡提供商、移動服務提供商、工資單、網路郵件、美國和加拿大的電子商務網站以及英國的兩家主要銀行等。

IcedID是通過Emotet銀行木馬分發的，Emotet木馬是為了收集和維護殭屍網路而構建的。Emotet銀行木馬主要通過垃圾郵件進行傳播，且通常隱藏在包含惡意宏的生產活動文件中。一旦IcedID成功感染設備，它就可以通過目標網路進行傳播，安全專家認為這一行為是旨在針對大型企業進行攻擊的代表性標誌。網路傳播在民族國家的攻擊者中很常見，但在銀行木馬中卻很罕見。

IBM研究人員報告稱，該銀行木馬的攻擊方法包括Web注入攻擊和高級重定向攻擊。它可以部署在運行各種版本的Windows設備上。

IBM Security的執行安全顧問Limor Kessem表示：

IcedID惡意軟體代碼的複雜性是模塊化的，它具有不同的細節，讓人不禁聯想到其他有組織的犯罪集團，可以肯定的是，該銀行木馬絕非業餘攻擊者能夠構建完成的。

3. Slience銀行木馬

Slience銀行木馬是卡巴斯基實驗室的研究人員於2017年9月份率先發現的。它是一款危險而複雜的木馬，其使用了與Carbanak銀行惡意軟體及其黑客組織類似的技術。Slience銀行木馬背後的黑客組織也被稱為「Slience」，之所以名為「Slience」，是因為該木馬程序能夠在受害組織中保持Slience（靜默）很長一段時間。與其他銀行木馬不同的是，該銀行木馬的攻擊目標不是銀行的客戶，而是針對銀行本身的經濟收益。

當Slience到達時，金融機構會收到帶有惡意附件的網路釣魚電子郵件。一旦受害者點擊惡意附件，就會開始一系列的下載，執行下載器，與C＆C伺服器進行通信，下載並執行惡意模塊，通過屏幕錄製監控受害者，數據上傳，憑證失竊以及遠程控制訪問等操作。其中「監視和控制」模塊就是通過對監視器進行截圖來記錄受害者行為。

Silence的監控能力類似於Carbanak組織，這是一支來自東歐的網路犯罪組織，也使用網路釣魚郵件攻擊金融機構。和Carbanak一樣，Silence銀行木馬通過長期「潛伏」在受害者的網路上來收集足夠的信息，進而獲得金錢收益。Silence的大部分受害者都是俄羅斯的銀行，不過，它也針對馬來西亞和亞美尼亞的企業實施攻擊活動。

4. Emotet銀行木馬

趨勢科技研究人員在2014年首次發現了銀行木馬Emotet。多年後的2017年9月，他們又發現了來自Emotet新變種的攻擊活動，並有可能將不同類型的有效負載釋放到目標系統上。Emotet新變體背後的動機保持不變，仍然是竊取信息，但安全專家有幾個理由來解釋為什麼它又重新出現了新變體。

首先是攻擊者正在觸及新的地區和行業：早期版本的Emotet針對的是金融機構，但是新的數據表明，惡意軟體正在觸及包括醫療保健、食品和飲料以及製造業在內的各個行業的公司。Emotet的重新出現，也可能是因為新的變種正在使用多種方式進行傳播。最主要的傳播方法仍是使用垃圾郵件殭屍網路，但是Emotet也可以使用網路傳播模塊進行傳播，該傳播模塊使用了字典攻擊，來暴力破解帳戶域。

研究人員還在報告中指出，由於Emotet在很長一段時間以來一直處於非活動狀態，所以其目標可能也正處於疏於防範的狀態。這種情況下，新的攻擊和能力可能會發揮更有效的作用，新變體的惡意軟體使用了垃圾郵件和橫向移動攻擊，因此感染企業和竊取敏感數據的機會也就變得更大了。

5. Trickbot銀行木馬

2017年7月，Flashpoint的研究人員發現Necurs殭屍網路將Trickbot銀行木馬病毒傳染給了美國的金融機構。Trickbot銀行木馬被認為是Dyre銀行木馬的繼承者，專門針對金融企業實施攻擊。

被稱為「mac1」的新Trickbot垃圾郵件廣告活動具有擴展的webinject配置，可以攻擊美國和海外的客戶。它的目標是增加50家銀行，並在報告時引發至少三種不同的垃圾郵件。7月晚些時候，Trickbot的新版本被發現正在使用蠕蟲傳播模塊，研究人員認為，這可能是受到了WannaCry勒索軟體攻擊的啟發。感染系統後，該木馬將使用伺服器消息塊（SMB）共享在網路上進行本地傳播。

Trickbot銀行木馬主要進行的是賬戶接管和欺詐行為，專家認為隨著惡意軟體的不斷蔓延，美國金融機構面臨的此類威脅可能會進一步加大。Flashpoint的研究人員表示，使用Necurs殭屍網路（出現於2012年，以傳播垃圾釣魚郵件聞名）進行傳播是Trickbot銀行木馬複雜性的一個重要標誌，且金融機構以外的企業可能也會面臨此類風險。

6. Zeus Panda（宙斯熊貓）銀行木馬

今年11月，思科 Talos 團隊發現網路犯罪分子開始利用搜索引擎優化（SEO）的關鍵字集合部署惡意鏈接，旨在傳播銀行木馬「Zeus Panda （宙斯熊貓）」後竊取用戶財務憑證與其他敏感信息。據悉，黑客主要針對與金融相關的關鍵字集合進行重定向鏈接嵌入，就連谷歌搜索引擎也未能倖免於黑客攻擊。

據稱，在此次攻擊活動中，黑客通過使用受損的 Web 伺服器，以確保在搜索「Nordea瑞典銀行帳號」和「sbi銀行定期存款表」時，惡意搜索結果可以在搜索引擎中排名靠前，從而增加被潛在受害者點擊的可能。

經過分析後，安全專家發現了數百個惡意網頁，其專門用來將受害者重定向至託管惡意 Word 文檔的另一受感染網站。一旦用戶點擊該惡意文檔，其系統將會自動下載並執行一個 PE32 可執行文件，從而通過銀行木馬 Zeus Panda 感染用戶設備。

值得注意的是，該惡意軟體會自動檢查系統語言，發現設備使用俄語、白俄羅斯語、哈薩克語或烏克蘭語的鍵盤布局，則會暫停攻擊。此外，安全專家還發現該惡意軟體會造成大量異常調用，從而導致沙箱崩潰、阻止殺毒軟體的檢測與分析。

7. Blackmoon銀行木馬

早在2016年，Unit 42就跟進並分析了一個專門針對韓國銀行的網路惡意活動，並將之命名為「KRBanker」即「Blackmoon」。2016年發現的Blackmoon樣本均是以廣告惡意軟體以及漏洞利用工具包模式來進行傳播並感染用戶機器。用來安裝Blackmoon的漏洞利用工具包叫做「KaiXin」，通過利用Adobe Flash的一些漏洞來傳播安裝木馬。另一個傳播途徑是通過一個叫「NEWSPOT」的廣告惡意軟體程序。用戶安裝了該程序後，通過該程序的update通道，Blackmoon木馬會被下載到用戶的機器上，隨後木馬會運行並且開始攻擊。

到了2016年底至2017年初，Fidelis Cybersecurity的研究人員發現，網路犯罪分子開始使用一個新的三階段框架來向韓國的用戶傳播Blackmoon銀行木馬。該框架通過按次序部署擁有不同但相關功能的組件來完成完整的Blackmoon木馬的傳播。

Fidelis把這個框架稱為「Blackmoon下載器框架」（見上圖），包括初始下載器（Initial Downloader）、位元組下載器（Bytecode Downloader）以及KRDownloader。

該框架緊密聯繫並設計為順序運行，以促進多個目標，包括逃避以及地理位置定位。多級下載器的設計目的明確：避免檢測，因為功能分布在這些單獨的（但是相關的）組件之間。利用該框架的攻擊活動目前仍然主要瞄準之前Blackmoon涉及的韓國金融銀行組織，但安全專家警告稱，不排除韓國以外的其他國家也會遭遇此類安全威脅的可能性。

8. 趨勢：移動銀行惡意軟體隱藏在Google Play中

今年11月份報道了一個新的Android銀行木馬家族，它在攻擊中使用了四個有效載荷階段——通常是兩個。ESET研究人員在Google Play商店的至少8款應用程序中發現了Android / TrojanDropper.Agent.BKY惡意軟體家族，並在隨後告知了Google公司。

第一階段要求惡意應用程序執行第二階段的有效載荷，其中包含了可以下載第三階段有效載荷的硬編碼URL。用戶被要求安裝一個偽裝成Flash或Android更新的應用程序，一旦授予許可權，該應用程序將執行第四階段有效載荷，即移動銀行木馬程序。

額外的階段將幫助攻擊者隱藏最終的有效載荷。該惡意應用程序會將用戶引導至偽造的登錄表單，進而竊取憑據和信用卡信息。ESET發現Android / TrojanDropper.Agent.BKY中的樣本主要是銀行木馬或間諜軟體；但是，其選擇的下載器可以是任何攻擊者想要的東西。

9. Boleto銀行木馬中的覆蓋技術

研究人員在對Boleto銀行木馬進行最新分析後，發現了一個與Trickbot或Zeus銀行木馬之類的典型銀行惡意軟體不同的變種，它使用網路釣魚技術將受害者吸引到偽造的登錄頁面，以便竊取用戶登錄數據。這個版本的Boleto使用惡意覆蓋技術，這是在受害者登錄到他們合法的銀行賬戶後觸發的。該木馬首先被思科Talos的研究人員所發現，後來被Check Point Research分析破解。

成功感染受害者設備後，該惡意軟體會「潛伏」下來等待有人嘗試登錄網上銀行。 然後，它會向攻擊者發送文本消息，並在受害者的瀏覽器上放置覆蓋屏幕。與瀏覽器類型和銀行信息相匹配的木馬會在屏幕上顯示一條長信息。當受害者讀取它時，攻擊者會在覆蓋層下面運行該賬戶中的交易。

據悉，這種攻擊方式僅限於南美地區的受害者，但是如果這種技術被帶有不同攻擊目標的惡意行為者所採用，就可能會影響到更多的人。

以上就是本次主題的全部內容，不知道我們的榜單中是否遺漏了任何其他的威脅？以及你認為明年的銀行木馬又會呈現出怎樣的發展趨勢呢？歡迎在評論中與我們分享您的想法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！