鉴于最近发生了一系列针对金融机构的攻击事件,研究人员向用户提出了告警,其中利用到的新型银行木马被称为 IcedID。
木马是 IBM X-Force 团队的研究人员于 9 月份发现的。他们表示,木马中用到了多处先进的技术,如全网络覆盖的能力以及通过本地代理的方式建立流量隧道来监视浏览器活动的能力。
研究人员在发表的一篇报告中指出:“目前,恶意程序主要针对美国的银行业、信用卡提供商、移动服务提供商以及账目、邮件、电子商务相关的网站。此外,两家英国银行也是这次的攻击目标。”
IcedID 和 TrickBot 以及 Dridex 木马类似,能够实现网络数据包的注入与重定向攻击。“虽然现在下结论还为时尚早,但就木马的制作水平、分发方式以及针对的攻击目标都表明该组织对这一领域并不陌生。” 研究人员补充道。“IcedID 通过 Emotet 进行分发,后者作为一个 dropper 负责将 IcedID 释放到目标系统。而 Emotet 则是借助垃圾邮件传播的,虽然内容上看起来像是来自银行的消息,但其中却包含了恶意的 zip 附件。”
来自 X-Force 的报告称:“IcedID 具备在不同设备间转移的能力,研究人员观察到它能感染终端服务器,例如打印机和共享的网络设备,这些设备在局域网或广域网中存在公共的接入点,这也表明 IcedID 能够通过恶意邮件扩散到特定机构的内部。”
对于被感染的 Windows 系统,IcedID 会在注册表中创建一个 RunKey 值,使得木马在系统重启后还能继续运行。根据 X-Force 的说法,IcedID 需要重新启动系统才能完成全面部署,同时重启也可以作为一种逃避沙箱检测的手段。
一旦部署完成,攻击者将通过代理方式对受害者的网络流量进行重定向。恶意软件会监控目标金融机构的 URL,一旦触发就会执行指定的数据包注入操作,从而将受害者重定向到预先准备好的虚假银行网站,该网站会提示用户输入用户名和密码。
“为了避免引起用户的怀疑,重定向过程中会在地址栏中保留目标银行的正确 URL 及对应的 SSL 证书。从这一点来看,攻击者在劫持受害者网络会话的过程中也用到了一定的社工技巧。此外,主机和 C&C 服务器间的通信也是基于 SSL 实现的。” 研究人员介绍道。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。