Necurs僵尸网络攻击美国金融机构 利用Trickbot银行木马窃取账户信息和欺诈-阿里云开发者社区

开发者社区> 晚来风急> 正文

Necurs僵尸网络攻击美国金融机构 利用Trickbot银行木马窃取账户信息和欺诈

简介:
+关注继续查看

在2016年9月, Fidelis公司发现变种木马TrickBot ,近日, Necurs僵尸网络 向美国金融机构传播 Trickbot 恶意软件, 与此同时,新的 Emotet 银行木马攻击被发现-信令愈发复杂的攻击。

Necurs僵尸网络攻击美国金融机构

Necurs僵尸网络已经开始向美国的金融机构内传播Trickot 银行木马, 预示着金融行业正在遭受规模更大、复杂度更高的攻击。Trickbot, 一种专门针对金融企业的威胁, 自2016年以来一直隐藏在Man-in-the-browser (MitB) 攻击的背后。到目前为止, 它的 webinject 配置只用于打击美国以外的组织。

Flashpoint的研究人员在7月17日发现了一个新的 Trickbot 垃圾邮件攻击行动, 称为 "mac1" 。最新的一轮攻击是由 Necurs 僵尸网络推动的, 被用来攻击50家额外的银行, 包括base在美国的13家公司。

Necurs, 世界上最大的垃圾邮件僵尸网络之一, 出现在 2012年, 因传播垃圾邮件而闻名。 Flashpoint恶意软件研究员保罗博比奇说, 他在过去的几年内一直在监测 Necurs 。

"它发送了大量的垃圾邮件, 其中之一是最近开始传播的Trickbot,

攻击中主要利用钓鱼邮件传播银行木马Trickbot

Mac1 有一个扩展的 webinject 配置, 它被用来攻击美国和国外金融机构的客户。其他受害国包括英国、新西兰、法国、澳大利亚、挪威、瑞典、冰岛、加拿大、芬兰、西班牙、意大利、卢森堡、瑞士、新加坡、比利时和丹麦。

到目前为止, Mac1 至少已经发动了三次不同的垃圾邮件攻击, Flashpoint报告说。第一次是一封 html 电子邮件,被伪装成来自澳大利亚电信公司的票据。其中包含一个windows 脚本文件的zip附件以及模糊的 javascript 代码。单击后, 文件被下载并执行 Trickbot 恶意payload。

trickbot_1.png

Trickbot 的主要顾虑之一是窃取账户信息和欺诈, 随着恶意软件的传播, 感染的美国金融机构可能会更多。Burbage 说, Mac1 的主要意义在于它的传播范围有多广。

虽然其主要目标是金融机构, 但专家预计其他公司最终也将面临风险。Flashpoint高级情报分析家维塔利说

"我们认为它有能力在未来发展出新的功能," 。

"就目前而言, 这是一个有潜力自我超越的银行木马。”

Trickbot 的最新版本, 以及它向美国的传播, 表明其作者的复杂性, 维塔利继续说。Flashpoint相信恶意软件的背后是一个讲俄语的团伙。他指出 Necurs 只被高级攻击者使用。

"我一直对 Trickbot 团伙的老练和机智感到惊讶,"

"他们不断开发新的手段来扩散恶意软件以及绕过垃圾邮件过滤器...... 他们也有基础设施来大规模扩散恶意软件。”

更多分析见这里:https://www.flashpoint-intel.com/blog/trickbot-targets-us-financials/

维塔利表示, Trickbot 被认为是 Dyre 银行特洛伊木马的后继者, 他们的基础结构与配置文件的设置相似。Trickbot 的作者可能对 Dyre 或重用旧的源代码非常熟悉。Dyre 背后的威胁行为者历来以美国、英国和加拿大的西方金融机构为目标。

博比奇和维塔利预计 Trickbot 将继续发展并瞄准美国和世界各地的金融客户。

安全公司发现新的银行木马Emotet

Fidelis Cybersecrrity今天发布了对 Emotet payload的分析结果, 它最初被用于凭据盗窃, 但现在被用来提供银行木马。

Emotet 使用大规模群发垃圾邮件来传播病毒。Fidelis发现 Emotet 利用基本的社会工程学来使用垃圾邮件进行传播。一些示例中有内部网络传播组件, 或者是在最近几年中没有发现的银行恶意软件作者的新策略。

emotet.png

Fidelis的威胁系统管理人员约翰说, 早期的银行木马程序是粗糙的, 并且是为尽可能多的目标而设计的。Emotet 和其他恶意软件现在使用注入来对特定的银行实施定制化攻击, 他解释说。

"一整个生态系统都围绕这这种类型的恶意软件,包括开发程序员, 恶意软件传播系统、注入程序员、金钱骡子和地下犯罪市场" 例如Alphabay

更多分析见:https://www.fidelissecurity.com/threatgeek/2017/07/emotet-takes-wing-spreader

Fidelis报道, 当我们见证了大规模 WannaCry 和 Petya病毒 攻击的强大危害力之后,对于 其他网络罪犯包括传播者的攻击已经不足为奇了。更多的恶意软件作者是在新闻报道的攻击手段中增加新功能, 这可能表明一个趋势, 我们在未来将看到更多类似的情况发生。



原文发布时间:2017年7月24日

本文由:darkreading发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/us-banks-targeted-with-trickbot-trojan

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
警惕一大波银行类木马正在靠近,新型BankBot木马解析
就在近期,阿里聚安全检测到大量新型BankBot家族木马伪装成其他应用,劫持全球至少50家大型银行手机用户。
3576 0
bootstrap 提示、倒塌与旋转木马
提示,tooltip <!--鼠标放在按钮上,就会出现提示。js代码不可少--> <button type="button" class="btn btn-default" data-toggle="tooltip" data-placement="top" title="Tooltip on left">Tooltip on top</button
1192 0
实现网络图片爬虫,只需5秒快速把整个网页上的图片全下载打包zip
我们经常需要用到互联网上的一些共享资源,图片就是资源的一种,怎么把网页上的图片批量下载下来?有时候我们需要把网页上的图片下载下来,但网页上图片那么多,怎么下载我们想要的东西呢,如果这个网页都是我们想要的图片,难道我们要一点一点一张一张右键下载吗? 当然不好,这里提供一段Java实现的网络爬虫抓图片代码,程序员同志有喜欢的记得收藏哦, 材料:必须会java开发,用到的核心jar Jsoup自己去网上下载很多。
757 0
在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误
错误信息: 标题: 连接到服务器 ------------------------------ 无法连接到 (local)。 ------------------------------ 其他信息: 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误。未找到或无法访问服务器。请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接。 (provider
1375 0
Jsp+JavaBean+Servlet实现模拟银行账户存取款等功能的网站(实习第4-8天)
本来想学J2EE的3个经典框架(Spring + Struts +Hibernate),奈何负责实习的老师只讲了Jsp+JavaBean+Servlet,项目时间还蛮紧的,所以只用JJS实现了这个项目,后面寒假有时间的话再用SSH实现并完善这个网站吧。前几天抽时间学了点前端的东西,感觉还是有点麻烦的,前端做既漂亮又有良好的兼容性不是件太容易的事情,所幸现在觉得能够静下来学技术做开发是件
1308 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载