网络犯罪工具攻克汇丰银行的反木马技术

来自某地下技术论坛的犯罪分子们已经开发出一种新技术，能够避开Trusteer反木马机制的层层堵截，从而令全球各大金融机构——包括汇丰银行与Paypal——的储户保护方案形同虚设。

Trusteer方面对这一安全漏洞进行冷处理，并轻描淡写地表示已经在推出针对性强化方案。然而，率先发现该漏洞的独立安全研究人员仍然警告称，目前银行客户仍然处于危险当中。

Trusteer的Rapport浏览器锁定技术目前已经成为全球五十家银行客户的可选下载方案，其中包括英国的国民西敏寺银行以及汇丰银行。在美国方面，ING Direct USA、eBay以及PayPal的客户也在企业方面的引导下利用这项技术实现反木马保护。 根据数字取证企业Group-IB的调查，某个私人网络犯罪论坛开发出一套机制，能够成功绕过浏览器锁定技术。更确切地说,Trusteer Rapport的1208.41及更早版本会遭受内存修改漏洞的侵害，从而关闭“Rapport的自检脱钩与拦截系统”。

“在新漏洞的帮助下，恶意人士将有可能在Trusteer Rapport运行的同时拦截用户的验证资料，”Group-IB公司国际项目负责人Andrey Komarov解释道。

根据Komarov的说明，网络犯罪论坛的成员已经开始使用这招绕过Papport检查，通过拦截，防止用户的登入信息被窃取，包括网上银行服务的登录细节。

在一份声明中，Trusteer公司CTO Amit Klein刻意淡化了该漏洞的严重性。Klein表示该漏洞只会影响到Trusteer软件提供给客户的保护层之一。

针对该漏洞的补丁已经公布，而且将自动普及到全部Trusteer Rapport客户群体当中。Rapport的用户无需采取任何额外措施。这项安全漏洞对Rapport阻断金融恶意软件，例如Zeus、KINS、Carbero、Gozi、Tilon以及Citadel等，的效能不会造成任何影响。这是因为Rapport还采用了其它与该漏洞无关的保护机制，从而继续保持拦截恶意软件的能力。此外，目前也还没有任何金融恶意软件在利用该安全漏洞。

不过El Reb网站还收到另一份声明，据说这份声明已经在本周一被发布到Trusteer各大银行业客户手中。这份声明补充了一项重点警告，称“该漏洞与新型恶意软件(所谓‘新型’是指处于未知状态、尚未实际出现)的结合给Rapport未采用多层次保护的产品带来严重威胁，并很可能成功绕过Rapport的保护机制。”

根据Komarov的说法，上述安全规避方案目前仍然有效。

“问题仍未得到解决，我们可以通过视频向大家演示如何成功绕过当前Rapport版本，”他向El Reg网站解释称。“由于SpyEye与Carberp的源代码已经泄露，目前已经出现一些利用该漏洞绕过安全机制的编译副本。”

Komarov补充称，Group-IB公司正在深入分析黑客团队利用该漏洞的具体方式。其中某些黑客此前还参与过SpyEye与Zeus中的反Rapport模块开发，过去几年中这两款恶意软件已经成为银行木马工具中的主要领导者。

众多网络犯罪论坛自2010年以来一直在积极讨论规避Trusteer的可能性与具体机制，Komarov总结称。