网络悍匪劫持巴西网银长达5小时,数百万用户中招
传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS并将所有的网上银行业务指向伪造的页面,从中获取受害者的信用卡信息。
2016年10月22日,这伙犯罪分子在3个月的精心准备之下,成功控制一家巴西银行所有业务长达5个小时。该银行的36个域名,企业邮箱和DNS全体沦陷。这家建立于20世纪早期的银行在巴西、美国、阿根廷和大开曼拥有500个分行 ,总计拥有500万用户和250亿美元资产。
卡巴斯基实验室的研究人员 Fabio Assolini 和 Dmitry Bestuzhev 发现,这伙网络犯罪分子已经将同样的手段炮制到全球范围内的另九家银行,但他们并未透露是哪家银行遭遇了攻击。
在研究初期,此次攻击看上去就是普通的网站劫持,但是两位研究者发现事情并没有这么简单。他们认为犯罪分子使用的攻击很复杂,并不只是单纯的钓鱼。攻击者用上了有效的SSL数据证书,并且还用Google Cloud来提供欺诈银行服务支持。
攻击的5小时里发生了什么事情?
10月22日下午1时,巴西的一家银行网站受到攻击,持续了5个小时。黑客入侵银行站点的方式是:控制这家银行的DNS账户,这样就能将客户导向欺诈网站了。研究人员表示,黑客入侵了这家银行的DNS提供商Registro.br。但黑客具体是怎么做到的,目前还不清楚。
DNS提供商Registro.br今年1月份的时候曾修复过一个CSRF漏洞,研究人员认为攻击者可能利用了这一漏洞——但也可能是采用向该提供商发送鱼叉式钓鱼邮件来渗透。
Bestuzhev说:
每一个访问该银行网站的人都会获得一个内含JAR文件的插件,而犯罪分子早已掌握了网站索引文件的控制权。他们可以利用iframe框架将用户重定向到一个提前设好恶意软件的网站。 黑客甚至可能将自动柜员机ATM或销售点系统的所有交易重定向到自己的服务器,收集那个周六下午受害者们使用信用卡的详细信息。
在这5小时的时间里,仿冒网站会向所有访问者提供恶意软件,可能有数万甚至上百万全球范围内的用户受到了这种攻击。该恶意软件是一个隐藏在.zip文件中的JAVA文件,伪装成了银行安全插件应用Trusteer,加载在索引文件中。这款恶意程序的作用是禁用受害者电脑中的安全产品,而且还能窃取登录凭证、邮箱联系人列表、邮件和FTP身份凭证。
研究员在对恶意软件的排查中发现了8个模块,其中包括银行URL的配置文件、更新模块、用于Microsoft Exchange,Thunderbird以及本地通讯录的凭证窃取模块、网上银行控制和解密模块。据研究员称所有的模块都指向加拿大的一个C&C服务器。
这些模块中有一个叫做Avenger(复仇者)的模块,通常是用于删除rootkit的合法渗透测试工具。但在这次攻击中,它被用于删除运行在受损计算机上的安全产品,通过Avenger,研究员断定全球范围内还有9家银行受到了相同手法的攻击。这些金融机构可能是来自巴西、美国、英国、日本、葡萄牙、意大利、中国、阿根廷与开曼群岛等国家地区。
钓鱼成功率极高
此外,在这5个小时的时间内,据说还有一些特定的银行客户收到了钓鱼邮件。随着研究的深入,研究员发现,当时银行的主页展示了Let’s Encrypt(一家免费的凭证管理中心)颁发的有效SSL证书——这其实也是现在很多钓鱼网站会用的方案,前一阵FreeBuf安全快讯还谈到,过去几个月内,Let’s Encrypt就颁发了上千份包含PayPal字符的SSL证书。
在本次事件中,这家银行的36个域名全部都被攻击者控制,包括线上、移动、销售点、融资和并购等功能的域名。除此之外,攻击者还控制了企业邮箱设施,为了防止银行方面通知受攻击用户、注册主管和DNS供应商,攻击者关闭了邮箱服务。值得一提的是,另外巴西银行没有启用Registro.br的双重认证方案。这五小时内的钓鱼成功率是可想而知的。
这伙犯罪分子想要利用这次机会劫持原有的银行业务,同时可以利用软件从他国银行盗取资金。
研究人员在银行域名中加载了钓鱼页面,这些钓鱼网页会诱导受害者输入信用卡信息。
其实,针对该巴西银行的阴谋早在Let’s Encrypt注册成立的五个月之前就已经开始酝酿(所以Let’s Encrypt顺理成章成为不错的选择)。研究员还发现,攻击者曾用巴西注册主管的名义向该银行传播钓鱼邮件。这很有可能是攻击者用来运行银行DNS设置的渠道; 凭借这一点他们就能将银行所有的流量全部重定向到他们的服务器。
研究员称这是他们第一次观察到如此大规模的攻击。
假想一下,如果一名员工被钓鱼成功,攻击者就可以访问DNS表,一旦DNS受犯罪分子控制,那么后果不堪设想。
研究人员强调,确保DNS基础架构的重要性,以及应当采用大多数注册商所提供的安全功能(如双重认证)。