Necurs僵尸网络攻击美国金融机构 利用Trickbot银行木马窃取账户信息和欺诈

在2016年9月， Fidelis公司发现变种木马TrickBot ，近日， Necurs僵尸网络 向美国金融机构传播 Trickbot 恶意软件, 与此同时，新的 Emotet 银行木马攻击被发现-信令愈发复杂的攻击。

Necurs僵尸网络攻击美国金融机构

Necurs僵尸网络已经开始向美国的金融机构内传播Trickot 银行木马, 预示着金融行业正在遭受规模更大、复杂度更高的攻击。Trickbot, 一种专门针对金融企业的威胁, 自2016年以来一直隐藏在Man-in-the-browser (MitB) 攻击的背后。到目前为止, 它的 webinject 配置只用于打击美国以外的组织。

Flashpoint的研究人员在7月17日发现了一个新的 Trickbot 垃圾邮件攻击行动, 称为 "mac1" 。最新的一轮攻击是由 Necurs 僵尸网络推动的, 被用来攻击50家额外的银行, 包括base在美国的13家公司。

Necurs, 世界上最大的垃圾邮件僵尸网络之一, 出现在 2012年, 因传播垃圾邮件而闻名。 Flashpoint恶意软件研究员保罗博比奇说, 他在过去的几年内一直在监测 Necurs 。

"它发送了大量的垃圾邮件, 其中之一是最近开始传播的Trickbot,

攻击中主要利用钓鱼邮件传播银行木马Trickbot

Mac1 有一个扩展的 webinject 配置, 它被用来攻击美国和国外金融机构的客户。其他受害国包括英国、新西兰、法国、澳大利亚、挪威、瑞典、冰岛、加拿大、芬兰、西班牙、意大利、卢森堡、瑞士、新加坡、比利时和丹麦。

到目前为止, Mac1 至少已经发动了三次不同的垃圾邮件攻击, Flashpoint报告说。第一次是一封 html 电子邮件，被伪装成来自澳大利亚电信公司的票据。其中包含一个windows 脚本文件的zip附件以及模糊的 javascript 代码。单击后, 文件被下载并执行 Trickbot 恶意payload。

Trickbot 的主要顾虑之一是窃取账户信息和欺诈, 随着恶意软件的传播, 感染的美国金融机构可能会更多。Burbage 说, Mac1 的主要意义在于它的传播范围有多广。

虽然其主要目标是金融机构, 但专家预计其他公司最终也将面临风险。Flashpoint高级情报分析家维塔利说

"我们认为它有能力在未来发展出新的功能," 。

"就目前而言, 这是一个有潜力自我超越的银行木马。”

Trickbot 的最新版本, 以及它向美国的传播, 表明其作者的复杂性, 维塔利继续说。Flashpoint相信恶意软件的背后是一个讲俄语的团伙。他指出 Necurs 只被高级攻击者使用。

"我一直对 Trickbot 团伙的老练和机智感到惊讶,"

"他们不断开发新的手段来扩散恶意软件以及绕过垃圾邮件过滤器...... 他们也有基础设施来大规模扩散恶意软件。”

更多分析见这里：https://www.flashpoint-intel.com/blog/trickbot-targets-us-financials/

维塔利表示, Trickbot 被认为是 Dyre 银行特洛伊木马的后继者, 他们的基础结构与配置文件的设置相似。Trickbot 的作者可能对 Dyre 或重用旧的源代码非常熟悉。Dyre 背后的威胁行为者历来以美国、英国和加拿大的西方金融机构为目标。

博比奇和维塔利预计 Trickbot 将继续发展并瞄准美国和世界各地的金融客户。

安全公司发现新的银行木马Emotet

Fidelis Cybersecrrity今天发布了对 Emotet payload的分析结果, 它最初被用于凭据盗窃, 但现在被用来提供银行木马。

Emotet 使用大规模群发垃圾邮件来传播病毒。Fidelis发现 Emotet 利用基本的社会工程学来使用垃圾邮件进行传播。一些示例中有内部网络传播组件, 或者是在最近几年中没有发现的银行恶意软件作者的新策略。

Fidelis的威胁系统管理人员约翰说, 早期的银行木马程序是粗糙的, 并且是为尽可能多的目标而设计的。Emotet 和其他恶意软件现在使用注入来对特定的银行实施定制化攻击, 他解释说。

"一整个生态系统都围绕这这种类型的恶意软件，包括开发程序员, 恶意软件传播系统、注入程序员、金钱骡子和地下犯罪市场" 例如Alphabay

更多分析见：https://www.fidelissecurity.com/threatgeek/2017/07/emotet-takes-wing-spreader

Fidelis报道, 当我们见证了大规模 WannaCry 和 Petya病毒 攻击的强大危害力之后，对于 其他网络罪犯包括传播者的攻击已经不足为奇了。更多的恶意软件作者是在新闻报道的攻击手段中增加新功能, 这可能表明一个趋势, 我们在未来将看到更多类似的情况发生。

原文发布时间：2017年7月24日

本文由：darkreading发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/us-banks-targeted-with-trickbot-trojan

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站