在此之前,巴西的网络犯罪分子们一只都在与俄罗斯的黑客们比赛,竞争的焦点就在于到底谁能开发出更多的银行木马病毒,而且到底是谁开发出来的银行木马更加有效。几天之前,我们发现了一种与以往有所不同的新型木马病毒传播途径,攻击者能够在Jar文件中附带“Banloader”组件,而这也是一种非常常见的操作方式,因为由Java语言所开发的程序(jar包)能够在Linux,OS X,以及Windows等主流操作系统上运行。实际上,他也可以在特定的移动设备环境中正常运行。 社会工程学技术 社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,并以此来获取自身利益的手法。近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样可能会被高明的社会工程学手段损害利益。 我们在进行了分析之后,发现有的电子邮件中附带有Jar文件的下载链接,而有的情况则是攻击者直接向目标主机传播Jar文件包,这样一来,目标用户就不用直接从网络上下载任何东西了。 感染木马 当目标用户点击了这条恶意链接之后,目标计算机将会迅速被木马所感染。由此看来,我们不得不承认巴西的网络犯罪分子们的确是社会工程学方面的专家。那么,当受害者点击了这条恶意链接之后,接下来会发生什么呢?结果肯定是各种各样的,具体的情况将取决于此次攻击背后的黑客组织。我们之所以会这么说,是因为我们虽然在此之前已经见过很多来自巴西的各类网络犯罪团伙了,但是这些黑客组织显然不会使用Jar文件来对银行用户进行攻击,因为这不是他们的攻击风格。 但事实上,无论目标用户使用的是哪一种操作系统,不管是OS X,还是Linux,又或者是Windows,只要目标用户在其计算机中安装了Java环境,“Banloader”就能够运行并对系统进行感染。 但是有的黑客组织仍在使用传统的攻击方式,即:将目标用户重定向至一个虚假的银行网站: 而有的攻击者则会利用DES或者RSA加密算法来对Jar程序的代码进行较为复杂的混淆处理。 当我们对这些代码进行了反混淆处理之后,我们可以清楚地看到,Jar包中的代码会将一个文件存入目标系统之中,而这个文件就是攻击者用来盗取目标用户银行存款的工具: 有趣的字符串数据 除了上述信息之外,我们还发现了网络犯罪分子所留下的字符串信息,但我们尚不清楚这是有意为之,还是无心之举。我们在不同的Jar银行木马中发现了下列字符串信息: “liberdade” – 意为自由,平等; “maravilha” – 意味奇迹,美好的事物; 这种攻击的重要性在哪? 由于只要目标系统中安装有Java运行环境,那么Jar文件就可以在Windows,OS X,以及Linux等主流操作系统中运行。所以这也就是巴西的犯罪分子们使用Java语言来开发这个“跨平台”银行木马的原因。 这意味着什么? 开发这款银行木马的巴西黑客正在开发能够在所有操作系统平台中运行的木马病毒,而不仅仅只局限于Windows操作系统。 这是否意味着OS X和Linux的用户们现在也成为了巴西网络犯罪分子们的攻击目标? 至少目前还不是。我们之所以这样说,是因为“Banloader”组件是在Jar包之中,但是最终起作用的恶意软件仍然是针对Windows操作系统而设计的。所以,就我们目前所发现的信息来看,制作跨平台的木马病毒只是巴西黑客所进行的第一步。所以,巴西的网络犯罪分子迟早会对所有的操作系统平台产生威胁,这只是时间问题。 巴西的网络犯罪分子们是否会继续开发这类跨平台的木马病毒? 目前,我们有理由相信他们会继续开发这类跨平台的木马病毒。而且他们才刚刚开始,他们不可能现在就停下脚步。 这些Jar恶意软件的隐蔽性到底有多强? 实际上,目前主流的反病毒产品对这类木马病毒的检测率都是比较低的。 卡巴斯基实验室的反病毒产品在检测这类安全威胁时,将病毒名称定为什么? 根据每一个病毒样本的特性,安全研究人员将这些木马病毒归为以下几类: l Trojan-Banker.Java.Agent l Trojan-Downloader.Java.Banload l Trojan-Downloader.Java.Agent 大多数目标用户的地理位置分布情况如何? 从我们目前所检测到的数据表明,大多数的目标用户来自于巴西,西班牙,葡萄牙,美国,阿根廷,以及墨西哥等国。 为什么在德国和中国也有受此木马影响的用户? 因为现在还有其他的网络犯罪分子也会使用同样的恶意软件技术来进行攻击,所以反病毒软件会将这类恶意软件检测为同一家族的恶意软件。 |