暗网情报公司 Flashpoint 在2018年5月30日发布报告表示,臭名昭著的银行木马 IcedID 和 Trickbot 背后的僵尸网络操纵者已经联合起来,充分利用这两种木马骗取受害者现金。  

两大金融网络犯罪“巨头”背后勾结

非常棘手的问题是,Flashpoint 公司的研究人员发现感染了 IcedID 的计算机竟然在下载另一款恶意软件 Trickbot,这是该公司在对 IcedID 恶意软件的研究过程中首次发现了这种合作,IcedID 和 Trickbot 后面的僵尸网络操纵者似乎已经将银行受害者们置于双重威胁之中。

恶意软件之间通常相互“排斥”

Flashpoint 的研究主管维塔利·克雷兹表示,在意识到上述情况后,便开始思考和着手研究这种情况发生的原因,IcedID 和 Trickbot 的这种联合应该是来自恶意软件的操纵者,而不一定是开发者。 克雷兹表示,恶意软件通常会攻击受害者的数据,尤其是在竞争激烈的银行业市场,例如 SpyEye 恶意软件就已经被发现在感染机器上卸载类似的 Zeus 木马。 

Trickbot 木马瞄准多国银行

Trickbot 木马 从2016年年中开始,Trickbot 已成为一款负责浏览器中间者攻击(man-in-the-browser attack)的木马病毒。该恶意软件与 Dyre 银行木马具有多种相同属性,被认为是 Dyre 的继任者,针对金融机构发动攻击。Dyre 银行木马2015年被俄罗斯警方“消灭”。Flashpoint 公司的研究人员认为,TrickBot 背后的网络犯罪分子可能十分了解 Dyre 或简单重用了 Dyre 的代码。

Trickbot 木马利用多个模块(包括泄露的漏洞),针对各种恶意活动的受害者进行攻击,如加密货币挖矿和 ATO 操作的受害者们。

2017年7月,TrickBot 银行木马背后的黑客正在对美国银行发起新一轮攻击。有僵尸网络 Necurs 助力,TrickBot 新一轮攻击活动也针对欧洲、加拿大、新西兰、新加坡等国的金融机构。TrickBot是首个,也是唯一通过重定向计划覆盖24个国家的银行木马。

IcedID 木马创建代理能力突出

IcedID 木马于2017年被 IBM X-Force 研究团队的研究人员所发现。这款木马被认为具备多个突出的技术和程序,其中最值得注意的是该木马创建代理的能力,其创建的代理可用于窃取多个网站的凭证,且主要针对金融服务。 

克雷兹表示,IcedID 应该是直接通过电子邮件发送垃圾邮件,然后该恶意软件就扮演了安装 TrickBot 的下载器,随后 TrickBot 又会在受害者的机器上安装其他模块。 这两种恶意软件结合起来,使用一系列方法和工具从受害者处窃取银行凭证,包括令牌掠夺者、重定向攻击和 web 注入。 

Flashpoint 公司认为,这样的攻击极其复杂。在入侵者实施攻击的过程中,还有其他的模块可以让入侵者深入了解受害者的机器,并扩展攻击的广度和范围,进而使他们能够从已入侵的机器中获得额外的潜在利益源。 这种双刃剑的威胁不仅为入侵带来了一种新的工具力量,而且对于操控者而言,这种合作吸引了更多可开展高效账户接管行为的欺诈操控者。 

Trickbot 和 IcedID 协作方式复杂

Flashpoint 公司表示,操控负责人可能监管着一个复杂的欺诈者网络,这些网络欺诈者们又连接了被这两种木马感染的机器。这个操控负责人被称作 botmaster,负责操作僵尸网络的命令和控制,以进行远程程序执行。 同时,克雷兹表示,构成这个欺诈者网络的不法分子可能只是通过别名相互认识,且都是各自领域内的行家。 

Flashpoint 公司还在报告中表示,根据对 TrickBot 和 IcedID 僵尸网络操作的语言分析和调查表明,这个设计僵尸网络的互活动属于一个小组织,该组织负责购买银行恶意软件、管理感染流、向项目相关人员(包括流量操控者、网站管理员和 钱骡子)支付款项以及接受洗钱收益等。 

事实上,当受害者登录到被感染系统上相关的银行页面时,botmaster 通过后端的“jabber_on”字段接受 XMPP 或 Jabber 通知。 

联合的恶意软件操作具有执行账户检查(或凭证填充)的功能。该功能可确定受害者机器的价值及其访问权限,因此,恶意分子可对具有更高价值的目标进行网络渗透,并利用其他被入侵的目标进行加密货币挖矿活动。 

随后,botmaster 可提取受害者的登录凭证,从而获取密保问题的答案以及电子邮件地址,然后将这些信息传递给真正负责操作的个人。同时,钱骡子们利用这些信息,在受害者所在地的同一金融机构开设银行账户。他们利用该账户来接收欺诈账户清算所(ACH)和电汇,然后将收益转发给僵尸网络的所有者或中间人。 

Flashpoint 公司还指出,基于 TrickBot 和 IcedID 僵尸网络操控者机器共享的后端基础设施,这些操控者们很可能将继续展开密切的合作,以便将被盗账户变现。 

目前,这种攻击的攻击范围和已被盗取的金额尚不清楚。克雷兹预测,未来将有更多的僵尸网络操控者们开始类似的合作,金融机构将面临更多的威胁。 

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。