概述
银行木马背后的威胁者恶意软件众所周知,他们不时改变目标地区,而且似乎有一些国家在很短的时间内就把目光投向了加拿大。在过去的几个月里,Proofpoint观察到针对加拿大网上银行用户的一系列活动,其规模从很小的一部分客户发送的数十条信息到更广泛的数万条信息不等。这些活动主要是使用恶意的微软Word文档在受害者的电脑上安装银行木马,但我们也看到活动使用链接导致恶意软件。
虽然针对加拿大居民和企业的基于电子邮件的恶意软件和网络钓鱼活动并不少见,但这些活动的数量和多样性似乎正在增加。我们观察到的恶意负载包括所有类型的银行木马,专门设计来窃取网上银行用户的资金的恶意软件。个人或企业感染这种恶意软件可能有(潜在的大量)金钱从他们的银行帐户,如果他们登录他们的网上银行系统,而恶意软件是活跃的。部署时,银行木马必须配置为与特定银行合作,使我们能够基于这些配置检测特定国家的目标,以及企业接收恶意电子邮件用于分发木马的位置。
特别是,我们观察了六个不同的银行木匠家庭,包括Ursnif,Dridex,科隆诺斯,宙斯,Gootkit., 和Vawtrak.,所有针对加拿大金融机构的客户。独自的Dridex银行业特洛伊木马在美国和英国的损失中已被捆绑在至少4000万美元中[1]。
木马分析
我们观察到的与这个银行木马恶意软件相关的垃圾邮件使用了几种不同的策略来向用户发送恶意负载,包括恶意的宏、包装器外壳对象(又名OLE对象)和链接。
第一个例子是2016年5月17日观察到的一场活动,使用了虚假的微软安全警报社会工程学诱惑让受害者打开一个导致可执行下载的链接。用户必须打开下载的可执行文件以感染他们的计算机。在这种情况下,有效载荷是克罗斯,是2014年7月推出的银行业特洛伊木马[1]。当Kronos的这个实例被配置为针对我们,加拿大和澳大利亚的金融网站。
第二个例子是在2016年6月6日观察到的活动,使用文件附件摆在作为加拿大的发布失败的交付通知,并包含宏,其中,如果启用,下载和安装DRIDEX BOTNET 220。值得注意的是,此广告系列未被发出Necurs Botnet并发生在最近的Necurs Botnet停电期间[3]。此时,Dridex 220被配置为瞄准各种加拿大金融站点。
第三个例子是2016年6月26日观察到的一项广告系列,使用了一个带有Packager shell对象的文档[4]摆姿势作为Microsoft Excel电子表格和照片,但实际上是JavaScript下载者。双击任何对象运行JavaScript,然后将下载Gootkit有效负载[5]。这个Gootkit的实例被配置为目标加拿大和德国财务网站。
第四个例子是2016年6月28日的一个活动,使用了虚假的UPS快递证明(包括被盗品牌)文件,其中包含宏,如果启用,将下载Vawtrak [6] Project 21。像上面的图1和图2中的例子一样,这个诱饵利用知名的品牌名称和偷来的标识来创造一种合法的氛围,诱使用户运行恶意附件内容。这个Vawtrak项目配置为主要针对加拿大金融网站,但也包括针对英国网站。
结论
银行木工在过去十年的比较方面一直在流通。加拿大几乎没有对这些类型的恶意软件免疫,但最近我们已经观察到了针对加拿大兴趣的活动和银行的木工体变量。重新地理解他们的地理位置,组织和个人可以采取几个步骤来防止感染和金融损失:
- 阅读包含链接或附件的电子邮件时会保持警惕。这里描述的所有广告系列依赖于社交工程来欺骗用户与恶意软件感染自己,即使他们的系统在打开恶意文件时可能呈现安全警告。
- 切勿在通过电子邮件或下载和运行从电子邮件中链接的可执行文件中启用宏,除非您绝对确定消息是真实的。
- 配置网上银行帐户的最大安全设置。例如,为任何转账启用双因素身份验证和通知或确认通常可以防止损失,即使系统受到感染。
- 组织还应投资适当的安全技术,以保护其员工免于对这些攻击的牺牲品下降。企业特别有风险,因为他们的银行账户通常包含更多的金额,因此是攻击者的更高优先级目标。较大的员工池也会增加成功感染的几率。
双倍双倍的用户教育和高级威胁安全解决方案可以帮助加拿大组织防止与银行木工和其他恶意软件相关的感染和金融损失。10bet中文网
参考
[2]http://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered/
[5]https://www.prickpoint.com/us/threat-insight/post/gootkit-banking-trojan-jumps-channel.
[6]https://www.prooppoint.com/us/threat-insight/post/in-the-shadows.
妥协指标(IOC)
IOC |
IOC类型 |
描述 |
C3FA5AE8E337E64154E96BE03C82D22415068D9DBF8C188395F1A6CF777FA685 |
SHA256. |
宙斯变体 |
fdbb6eba309812aeeb45fb6f0e103e80787975e2f6f8be2d41d95a44cf736707 |
SHA256. |
提供Zeus Variant的文档 |
4CDBDD12D5270098D04E016912C0137BA37D95A234F6CC9091029EF407E8A193 |
SHA256. |
Vawtrak项目21. |
AEF39A4E0A5B5724DEC5E65A7479CAE711B65D21080E0DE15C1235FF2951FA2B. |
SHA256. |
文件提供Vawtrak项目21 |
B83F945C923B888A597FB7F1DB205515CC3BB140BFCB2140A09B8595E5384E99 |
SHA256. |
Ursnif 1200 |
DAFB4379504581C43C8FB0BF3C1724DC205E99599DF5D03326EFF9AA2F5E84AB |
SHA256. |
导致下载Ursnif 1200的文件 |
D945DCD6E3C1E3BFF7536D5CF099780D9FDC7AD9EFA31752E7B287DCE66B194B |
SHA256. |
ursnif 2003. |
53836F902E441F2C0981FFDBA44F2E013D31C3DA2D38BD26E68B0BEBF10EA5EA |
SHA256. |
导致下载Ursnif 2003的文件 |
5 cf89991284ffde6be3484be9f8f889b6d2e9cc3e251e21ef62ef2a06034c90b |
SHA256. |
Gootkit. |
9 fe4292df260f4fac94f27154336a02fb45b5e8d8de31e60658c6c9bede9a9b8 |
SHA256. |
提供Gootkit的文件 |
0716A093C36F7D9B592CD294C4D2761C39AF3251D6FECA167EBDE18758222E2E. |
SHA256. |
Dridex Botnet 220. |
AD15D77430405BAAF10424F895D91314D2272D28BD7D38AA84260AE57339342C. |
SHA256. |
文件提供DRIDEX 220 |
ae03cca0f7062bab07f50b02a0deecc5df6388b9e764ddc4439fbbcee72a4996 |
SHA256. |
克诺斯 |
[HXXP://83.149.126 [。] 163 / en-US /下载/ eva-051616.exe] |
URL. |
url导致下载克罗斯 |
订阅校正博客