网络悍匪劫持巴西网银长达5小时,数百万用户中招

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS并将所有的网上银行业务指向伪造的页面,从中获取受害者的信用卡信息。

2016年10月22日,这伙犯罪分子在3个月的精心准备之下,成功控制一家巴西银行所有业务长达5个小时。该银行的36个域名,企业邮箱和DNS全体沦陷。这家建立于20世纪早期的银行在巴西、美国、阿根廷和大开曼拥有500个分行 ,总计拥有500万用户和250亿美元资产。

卡巴斯基实验室的研究人员 Fabio Assolini 和 Dmitry Bestuzhev 发现,这伙网络犯罪分子已经将同样的手段炮制到全球范围内的另九家银行,但他们并未透露是哪家银行遭遇了攻击。

在研究初期,此次攻击看上去就是普通的网站劫持,但是两位研究者发现事情并没有这么简单。他们认为犯罪分子使用的攻击很复杂,并不只是单纯的钓鱼。攻击者用上了有效的SSL数据证书,并且还用Google Cloud来提供欺诈银行服务支持。

攻击的5小时里发生了什么事情?

10月22日下午1时,巴西的一家银行网站受到攻击,持续了5个小时。黑客入侵银行站点的方式是:控制这家银行的DNS账户,这样就能将客户导向欺诈网站了。研究人员表示,黑客入侵了这家银行的DNS提供商Registro.br。但黑客具体是怎么做到的,目前还不清楚。

DNS提供商Registro.br今年1月份的时候曾修复过一个CSRF漏洞,研究人员认为攻击者可能利用了这一漏洞——但也可能是采用向该提供商发送鱼叉式钓鱼邮件来渗透。

Bestuzhev说:

每一个访问该银行网站的人都会获得一个内含JAR文件的插件,而犯罪分子早已掌握了网站索引文件的控制权。他们可以利用iframe框架将用户重定向到一个提前设好恶意软件的网站。 黑客甚至可能将自动柜员机ATM或销售点系统的所有交易重定向到自己的服务器,收集那个周六下午受害者们使用信用卡的详细信息。

在这5小时的时间里,仿冒网站会向所有访问者提供恶意软件,可能有数万甚至上百万全球范围内的用户受到了这种攻击。该恶意软件是一个隐藏在.zip文件中的JAVA文件,伪装成了银行安全插件应用Trusteer,加载在索引文件中。这款恶意程序的作用是禁用受害者电脑中的安全产品,而且还能窃取登录凭证、邮箱联系人列表、邮件和FTP身份凭证。

研究员在对恶意软件的排查中发现了8个模块,其中包括银行URL的配置文件、更新模块、用于Microsoft Exchange,Thunderbird以及本地通讯录的凭证窃取模块、网上银行控制和解密模块。据研究员称所有的模块都指向加拿大的一个C&C服务器。

这些模块中有一个叫做Avenger(复仇者)的模块,通常是用于删除rootkit的合法渗透测试工具。但在这次攻击中,它被用于删除运行在受损计算机上的安全产品,通过Avenger,研究员断定全球范围内还有9家银行受到了相同手法的攻击。这些金融机构可能是来自巴西、美国、英国、日本、葡萄牙、意大利、中国、阿根廷与开曼群岛等国家地区。

钓鱼成功率极高

此外,在这5个小时的时间内,据说还有一些特定的银行客户收到了钓鱼邮件。随着研究的深入,研究员发现,当时银行的主页展示了Let’s Encrypt(一家免费的凭证管理中心)颁发的有效SSL证书——这其实也是现在很多钓鱼网站会用的方案,前一阵FreeBuf安全快讯还谈到,过去几个月内,Let’s Encrypt就颁发了上千份包含PayPal字符的SSL证书。

在本次事件中,这家银行的36个域名全部都被攻击者控制,包括线上、移动、销售点、融资和并购等功能的域名。除此之外,攻击者还控制了企业邮箱设施,为了防止银行方面通知受攻击用户、注册主管和DNS供应商,攻击者关闭了邮箱服务。值得一提的是,另外巴西银行没有启用Registro.br的双重认证方案。这五小时内的钓鱼成功率是可想而知的。

这伙犯罪分子想要利用这次机会劫持原有的银行业务,同时可以利用软件从他国银行盗取资金。

研究人员在银行域名中加载了钓鱼页面,这些钓鱼网页会诱导受害者输入信用卡信息。

其实,针对该巴西银行的阴谋早在Let’s Encrypt注册成立的五个月之前就已经开始酝酿(所以Let’s Encrypt顺理成章成为不错的选择)。研究员还发现,攻击者曾用巴西注册主管的名义向该银行传播钓鱼邮件。这很有可能是攻击者用来运行银行DNS设置的渠道; 凭借这一点他们就能将银行所有的流量全部重定向到他们的服务器。

研究员称这是他们第一次观察到如此大规模的攻击。

假想一下,如果一名员工被钓鱼成功,攻击者就可以访问DNS表,一旦DNS受犯罪分子控制,那么后果不堪设想。

研究人员强调,确保DNS基础架构的重要性,以及应当采用大多数注册商所提供的安全功能(如双重认证)。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

威胁告警:大量ubnt设备被植入后门

近期,安恒安全研究团队监控到大量利用弱口令对22端口进行暴力破解的攻击。经过安全团队详细分析,我们发现网络上大量的ubnt设备的存在弱口令,并且已经被黑客使用自...

53260
来自专栏安恒信息

HT工具泄露 安恒APT产品无需升级即可检测

  近日,一家以协助政府监视公民而“闻名于世”的意大利公司Hacking Team数据失窃。攻击者窃取了Hacking Team超过400GB的数据并公布于网络...

33280
来自专栏企鹅号快讯

互金专委会:互金行业仍存盗号、钓鱼欺诈等高危漏洞

1月2日,国家互联网金融安全技术委员会(以下简称“专委会”)发布“全国互联网金融阳光计划”第二十七周-互联网金融网站漏洞分析报告”。 报告指出,互联网金融是金融...

21870
来自专栏FreeBuf

俄罗斯浮现新型银行木马Silence,或与Carbanak有关

近日,卡巴斯基实验室的研究人员发现了一种新型木马——Silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。 卡巴斯基的 GreAT 调...

22950
来自专栏安恒信息

网络安全机构检测出三种新的恶意病毒

网络安全机构宣称,已检测出了三种新的恶意病毒,并采取了相应的隔离措施。据悉,这些病毒已感染了数千名中国移动(微博)用户。 这三种...

29140
来自专栏CDA数据分析师

我是如何一不小心阻止了勒索病毒的全球蔓延

原作者 MalwareTech 编译 CDA 编译团队 本文为  CDA 数据分析师原创作品,转载需授权 前言 上周全球爆发电脑勒索病毒,“疫情”已波及 99 ...

31390
来自专栏魏艾斯博客www.vpsss.net

Bluehost 美国站和 Bluehost 中国站的区别

17830
来自专栏腾讯云安全的专栏

解读︱SSH 暴力破解攻击瞄准这类用户,小心你的设备被利用挖矿

29820
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(188)-FI-160现金管理

image.png FI160现金管理 现金状态概览提供有关银行帐户当前财务状态的信息。这是现金集中的起点,其中将不同银行帐户的余额集中到一个目标帐户,考虑最小...

35750
来自专栏腾讯安全应急响应中心

威胁快讯 | 腾讯Tencent Blade Team首度公开,恶意代码威胁全球摄像头

北京时间2018年9月18日,Tenable官网上公开了由京晨科技(NUUO)公司开发的NVRMini2设备管理系统存在缓冲区溢出漏洞(代号为Peekaboo,...

22800

扫码关注云+社区

领取腾讯云代金券