幽灵版Zeus病毒变体:攻击目标锁定全球网银用户

卡巴斯基实验室研究人员于近期发现了著名Zeus木马病毒的一种新变体。该变体之所以被称为”幽灵”(Chthonic),源于希腊神话中冥界的鬼神。目前已将全球15个国家的150家银行和20种支付系统锁定为攻击目标。 Zeus(宙斯)正如其名字一样,堪称网银恶意软件中的”王者”。Zeus首次出现于2007年,一经出现即对众多网银账户大肆破坏。2011年,其开发者不再继续对其开发和更新,之后便将Zeus的源代码公布于众。这似乎预示着Zeus木马病毒就此将在互联网上彻底消失,但随后的事实证明与人们之前的预想截然相反。Zeus病毒源代码的公开使得一些不良程序员能基于其高可定制化框架编写出大量该病毒变体,其中包括:GameOver、Zitmo和其他许多威胁。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够激活受感染机器上的摄像头和录音工具。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够远程激活受感染机器上的摄像头和录音工具。这一系列行为背后的最终目的是:通过窃取网银登录凭证和让网络攻击者掌控受害人机器,从而执行欺诈性资金交易。 和一些早期的网银木马病毒一样,”幽灵”通过部署恶意web注入技术,旨在将合法网银界面替换为自定义图像和代码。而毫不知情的网银用户则”心甘情愿地”将他们的网银登录凭证亲手交予恶意软件幕后黑手,根本没有意识到他们的网银登录页早已被恶意的假冒页面所替代。犯罪分子之所以热衷于使用这一方法,还在于能窃取第二重认证信息,例如:用户将在受感染浏览器输入的一次性密码和短信代码。 #Zeus#木马病毒#”幽灵”#变体将全球15个国家的150家银行作为攻击目标。 “幽灵”主要将攻击目标锁定在位于英国、西班牙、美国、俄罗斯、日本和意大利的各大银行机构。在日本,该恶意软件通过一脚本重写银行安全警报系统,使得网络攻击者能够以用户账户执行交易。在俄罗斯,受感染用户甚至无法访问其银行网站,因为”幽灵”通过注入内联框架,将用户重新定向至相似度极高的钓鱼网页。 然而,在将触手伸向网银登录凭证之前,”幽灵”首先需要感染用户设备。如同其他恶意软件的原理一样,”幽灵”通过恶意网页链接和电邮附件偷偷潜入用户设备。无论采用何种方式,该攻击旨在将恶意DOC文件下载至受害人设备。这些文档内含富文本格式,以利用微软办公软件内的远程代码执行漏洞(已于4月份修复)。但该软件无法在适当更新的设备上运行。此外,卡巴斯基安全产品用户也完全受到保护,可免于这一威胁的侵害。

卡巴斯基实验室研究人员于近期发现了著名Zeus木马病毒的一种新变体。该变体之所以被称为”幽灵”(Chthonic),源于希腊神话中冥界的鬼神。目前已将全球15个国家的150家银行和20种支付系统锁定为攻击目标。

Zeus(宙斯)正如其名字一样,堪称网银恶意软件中的”王者”。Zeus首次出现于2007年,一经出现即对众多网银账户大肆破坏。2011年,其开发者不再继续对其开发和更新,之后便将Zeus的源代码公布于众。这似乎预示着Zeus木马病毒就此将在互联网上彻底消失,但随后的事实证明与人们之前的预想截然相反。Zeus病毒源代码的公开使得一些不良程序员能基于其高可定制化框架编写出大量该病毒变体,其中包括:GameOver、Zitmo和其他许多威胁。

“幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够激活受感染机器上的摄像头和录音工具。

“幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够远程激活受感染机器上的摄像头和录音工具。这一系列行为背后的最终目的是:通过窃取网银登录凭证和让网络攻击者掌控受害人机器,从而执行欺诈性资金交易。

和一些早期的网银木马病毒一样,”幽灵”通过部署恶意web注入技术,旨在将合法网银界面替换为自定义图像和代码。而毫不知情的网银用户则”心甘情愿地”将他们的网银登录凭证亲手交予恶意软件幕后黑手,根本没有意识到他们的网银登录页早已被恶意的假冒页面所替代。犯罪分子之所以热衷于使用这一方法,还在于能窃取第二重认证信息,例如:用户将在受感染浏览器输入的一次性密码和短信代码。

#Zeus#木马病毒#”幽灵”#变体将全球15个国家的150家银行作为攻击目标。

“幽灵”主要将攻击目标锁定在位于英国、西班牙、美国、俄罗斯、日本和意大利的各大银行机构。在日本,该恶意软件通过一脚本重写银行安全警报系统,使得网络攻击者能够以用户账户执行交易。在俄罗斯,受感染用户甚至无法访问其银行网站,因为”幽灵”通过注入内联框架,将用户重新定向至相似度极高的钓鱼网页。

然而,在将触手伸向网银登录凭证之前,”幽灵”首先需要感染用户设备。如同其他恶意软件的原理一样,”幽灵”通过恶意网页链接和电邮附件偷偷潜入用户设备。无论采用何种方式,该攻击旨在将恶意DOC文件下载至受害人设备。这些文档内含富文本格式,以利用微软办公软件内的远程代码执行漏洞(已于4月份修复)。但该软件无法在适当更新的设备上运行。此外,卡巴斯基安全产品用户也完全受到保护,可免于这一威胁的侵害。

千万不要”着了魔”或变成线下偏执狂

在某个愉快的周六晚上,我的一个朋友突然收到了一个银行通知短信,告知他的信用卡在希腊刷掉了550欧元…。”活见鬼…!”这是他当时所说的唯一一句话。我们通过一番讨论后,建议他马上打电话给银行将这张卡冻结,但远在希腊的坏家伙丝毫没有浪费时间:赶在我们前头又用这张卡刷掉了1200欧元。 这件事发生在6个月之前。这家银行—我并不想公开它的名字,但绝对是一家评价很高的银行—却拒绝承担任何损失。我的这个朋友不得不拿起了”法律武器”,因为他的妻子是一名律师且在这一领域拥有丰富的专业知识。最终,他们还是输掉了官司,法院裁决银行胜诉。 银行进行辩护的论据很简单:发生在希腊ATM机的交易使用了信用卡和正确的PIN码,因此足以授权交易。尽管合法持卡人当时正位于莫斯科郊外的证据确凿,但依然还不足以胜诉。 我们都清楚各种黑客和网络钓鱼小组以及其它”独行侠”不遗余力地想从我们的口袋里窃取资金和我们设备内的数据。但这个故事却不是关于互联网的。这些犯罪分子所用的磁条和PIN码证明这些犯罪活动都是在线下完成的。 很可能在我的朋友们前往保加利亚滑雪胜地的时候,这张信用卡已经被”劫持”了。他们那时在当地好几家饭店都使用了这张卡。饭店的服务员将这张卡拿走后,有大把计划通过扫描仪刷卡复制。偷看客人在POS终端机上输入密码并不太难;因为我们总是羞于在输入密码时盖住小键盘,怕被别人看作是有偏执狂的怪人。 但内置于芯片的加密措施又如何呢?一般来说,没有芯片就无法加密。银行通常认为发行带磁条的主卡更好,但从这个案例看出来,要复制这些卡可谓是小菜一碟,甚至是一些”小毛贼”都能做到。 "Five lessons I’ve learned from having my credit card hacked" https://t.co/TQHBbK0Oqw — Eugene Kaspersky (@e_kaspersky) November 13, 2014 第二个故事恰巧就发生在了我自己的身上。当时我和朋友和同事前往美国参加一个会议。期间,我们决定前往北加利福尼亚来一次短途旅行,那里可以看到温泉和水杉,徒步旅行同时呼吸一些新鲜空气。一到旧金山我们就租了一辆车直接驶往北加州。在经过一段令人疲劳的飞行旅途后,我们决定在当地的一座小镇小息片刻。 我将车停在离饭店几十米远的地方,并将我们的行李留在了后备箱(’有什么问题吗?毕竟在美国,几乎所有地方都很安全。’)。我们几个人来美国都不止一两次了,这正是我们如此懈于安全保护的”正当理由”。 半小时后,当我们酒足饭饱走出饭店的时候,发现车的玻璃窗被敲碎了,我们的旅行背包也不翼而飞。当然还包括一些贵重物品:笔记本电脑、照相机等等,其中还有护照。 令人震惊的事实:在莫斯科,我们没有人会将贵重物品留在车内,尤其是文件;每个人都知道这样做的危险性。 在检查了车子的损坏程度后,我们马上拨打了911报警,而电话那头的女接待员议我们在线进行报案(当然不可能再用笔记本上网了)。我们要求饭店给我们看监控录像(白费力),还四处查找(希望小偷会将”没有用”东西仍在附近)。之后,我们驶离小镇寻找附近的警区(晚上依然一无所获)。 我们甚至还努力拦下了一辆警车,向车内的警察诉说了我们的遭遇,但他们只是表达了同情但仍然表示爱莫能助,因为这一区非常危险,此类犯罪事件每天都有发生。完全可以想象第二天回到旧金山时有很多麻烦的事情等着我们,首先必须去领事馆补办必要的文件,如此才能回俄罗斯。

提示