这些流行的银行木马,你都了解吗?

银行木马是一款对针对金融客户为目标,通过各种方式窃取客户网上银行凭证信息的恶意软件,最近几年一些银行木马不仅仅传播自己,还充当勒索病毒的分销商,传播勒索病毒,笔者今天给大家介绍一些比较流行的银行木马家族

No.1

Zeus

Zeus也称为ZBOT,是有史以来最为著名为银行木马之一,在2007年首次被发现,主要通过抓取用户凭证,更改网页表单信息,以及将用户重定向到虚假的网上银行网站,根据卡巴斯基的报道称,其作者称“退休”并将源代码卖给了另一个银行木马家族SpyEye的开发者,随后Zeus的源代码被公开,发展出不同的变种版本,主要的变种家族以:Citadel,Gameover和Atmos为主,在2016年首次在巴西出现的Zeus Panda银行木马,也使用了Zeus的许多技术,其主要攻击金融服务机构,在2018年其扩大攻击范围,以加密货币交易和社交媒体网站为目标,Zeus主要能过垃圾邮件来传播,后期使用了更高强度的代码加密技术,更灵活的恶意插件分发,通过盗取用户的银行帐户、窃取受害者网上银行等相关信息,赚取暴利

No.2

Emotet

Emotet最初由安全研究人员在2014年首次发现,它采用模块化架构设计,并具有持久化和蠕虫式自动传播功能,主要通过垃圾邮件进行分发,通常作为一个下载器,下载其它恶意模块,并注入到相应的进程中,2018年,Emotet异常活跃,基本上每天都有新的变种出现,自2018年2月以来,Emotet用于传播其它僵尸网络程序,同时还会分发一些功索病毒

No.3

TrickBot

TrickBot被称为Dyre僵尸网络的继承者之一,2016年针对金融服务行业的纯银行木马,主要通过垃圾邮件传播,收集用户计算机的数据,包括操作系统版本、CPU情况、内存、用户名、系统服务、软件安装情况等,并获取用户的银行凭证以及密码信息,并通过网络进行横向传播,近期发现它会盗取用户的比特币交易信息,TrickBot是一款多模块化的恶意软件,不同的模块负责不同的恶意活动,此前还发现它用来传播Ryuk勒索病毒

No.4

Gozi

Gozi银行木马,也是今年最流行的一款银行木马,它也被称为Ursnif或者ISFB,是最古老的银行木马之一,首次开发时,Gozi使用rootkit组件来隐藏其进程,2010年,Gozi银行木马源代码被泄露,出现了几个不同的变种版本,2015年,它的源代码被第二次泄露,导致Gozi的代码被集成到了其它恶意软件当中,例如后面在2016年从北美银行盗走数百万美元的GozNym恶意软件,在GozNym盗窃事件之后,Gozi采用了新的技术,利用Dark Cloud僵尸网络进行分发,最近Gozi又与DanaBot建立联系,以瞄准一些意大利银行,十几年来,Gozi一直很活跃,被认为是最危险的银行木马恶意软件之一

No.5

Dridex

Dridex在2011年9月被首次发现,被命名为Cidex,直到2014年6月Dridex版本的出现,是一款著名的银行木马,主要通过垃圾邮件进行传播,经过研究人员发现Dridex与Gameover Zeus在代码中有许多相似之处,同时Dridex归属地是一个讲俄语的网络犯罪组织,该网络犯罪组织开发了Gameover Zeus,在2015年,Dridex造成的损失就超过4000万美元,2016年4月,Dridex将焦点从英国银行转移到美国银行,2018年12月研究人员发现了Dridex、Emotet和Ursnif(Gozi)恶意软件之间的联系,此银行木马非常活跃,背后的运营团队也在不断的更新新的技术,改进Payload的加载方式,使其变的越来越复杂,去年1月份,FacePoint团队的安全研究人员发现Dridex扩大了感染链,通过FTP网站进行传播感染

No.6

Cerberp

Carberp是一款专门用于盗取银行信息的恶意软件,最早于2009年被首次发现,2012年,八名参与Cerberp行动的黑客被俄罗斯事务部逮捕,在2013年,Cerberp卷土重来,2014年4月份,黑产团伙通过该软件从乌克兰和俄罗斯盗取了大约169万美元,从2013年6月份Carberp的源代码在地下黑客市公开出售,标价为50000美元,随后俄罗斯地下论坛公布了Carberp的源代码,并且在网络提供免费下载,导致Carberp木马开始不断的进化,出现了各种不同的版本,Carberp在2016年被发现企图从世界各地的银行窃取资金,这个网络犯罪团伙据称于2013年开始,涉嫌从事其他有组织犯罪活动,包括洗钱,毒品和人口贩运,2018年,被指控的Carbanak犯罪团伙领导人被捕。从那时起,Carberp一直保持平静, Carberp仍然是一种威胁,它很可能会重新抬头。

No.7

Carbanak

Carbanak恶意软件是Carbanak犯罪团伙开发,主要用于攻击银行计算机和其它金融机构而得此名,国外安全专家调查发现,认为Carbanak网络犯罪团伙与俄罗斯安全公司Infocube之间的具有一定的关联,该团队在2013年-2014年之间开发了Anunak这款恶意软件,主要针对金融机构,在2014年-2016年之间,开发使用Carbanak恶意软件,2016年初,Carbanak团伙主要针对美国和中东地区的银行和金融机构,2015年卡巴斯基首次发现Carbanak团伙,该团伙从100家金融机构窃取了10亿美元资金,2016年11月,Trustwave发现该组织针对酒店行业发起新一轮攻击,2018年2月,欧州刑警组织表示,西班牙警方逮捕了Carbanak犯罪团伙的头目,随后某安全组织曝光了Carbanak团伙的工具源码,说明文档和源码中出现了大量的俄语注释,可能Carbanak来自于俄罗斯的黑客组织,近期卡巴斯基发现了Carbanak2.0正在瞄准银行以外公司的预算和会计部门,可能会发起新一轮的攻击

上面介绍了一些比较流行的银行木马家族,事实上在银行木马家族谱中,还有很多成员,就不一一介绍了,同时根据笔者的跟踪与研究,Emotet、TrickBot、Ursnif(Gozi)这三款银行木马在最近一两年内异常活跃,不断的新的样本和IOC被曝光

银行木马已经成为全球金融行业最大的安全威胁之一,可以预见,随着未来数字货币的发展,这些银行木马后期会不会转向盗取客户的数字货币帐号等信息,需要安全研究人员持续追踪,笔者曾写过多篇关于银行木马的分析报告,其中包括:TrickBot、Ursnif、Emotet、Dridex,Redaman等家族,银行木马一直是安全分析人员研究的重点,每款银行木马家族都是一种复杂的恶意软件,需要花费分析人员大量的时间,一些黑产团伙专门从事银行木马的开发运营活动,并已经从中获得了巨大的利润,并且随着最近几年勒索病毒的暴利,一些银行木马也被用于传播勒索病毒,成为勒索病毒等恶意软件的分销商

全球大多数的安全事件最终都是通过恶意软件进行攻击的,如果你对这些恶意软件感兴趣,想研究学习一些恶意样本的分析技术,欢迎加入知识星球,里面会分享各种安全技术资料:应急响应、恶意样本分析、渗透测试、漏洞研究、移动安全等

安全的路很长,贵在坚持......

你“在看”我吗?

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190901A0HPSO00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券