扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近来出现一波源自墨西哥的新的网络钓鱼攻击,这个攻击利用了一则具争议性的新闻,新闻内容指称一名据称失踪的四岁小女孩被发现陈尸于自家的房间内。经过调查后,我们发现这波攻击来自一个墨西哥的殭尸网络/傀儡网络,企图盗取使用者的银行往来相关数据。
拉丁美洲地区盛行使用在线金融交易,而这波攻击是网络犯罪份子以在线金融交易小区为目标,致力于侵占金钱与敏感财务资料的另一案例。
追踪该则新闻的使用者在进入网页便沦为攻击的猎物,网页内有一则相关Paulette的文章,并宣称会提供Paulette母亲的裸照。当使用者进入这个网页后,会看到一个假的对话跳窗,要求使用者下载及安装Adobe Flash Player。
图1、假网站中的新闻内容屏幕画面
图2、假对话窗口的屏幕画面
点击开始(Run)就会下载档名为video-de-la-mama-de-paulette.exe的档案,这个档案实际上是傀儡殭尸网络的客户端程序,经Trend Micro趋势科技侦测出为TSPY_MEXBANK.A。
在调查过程中,我们进入了殭尸网络的控制中心(command-and-control,简称C&C)接口了解其管理功能。我们也进入了管理接口来亲眼目睹这个新傀儡殭尸网络完整的功能。
图3、C&C 登入页面
图4、C&C 主目录
殭尸网络的目录显示出傀儡殭尸的总数及受入侵的计算机列表。傀儡殭尸的列表列出了客户的身份证号码及姓名,以及在殭尸网络中进行了那些活动。功能包括可开启或关闭傀儡殭尸,在傀儡殭尸上启动netcat(可被用来当做后门使用,功能强大的网络工具),以及从殭尸网络中移除傀儡殭尸等的选项。
图5、傀儡殭尸目录
新发现的殭尸网络的功能相当广泛,和其它较早出现,业已有相当发展规模的殭尸网络家族不相上下。每一种功能都被安置在独自的模族中,让殭尸网络管理者可个别逐一地进行设定。
在殭尸网络所提供的功能中发现网址嫁接(pharming)模族也毫不令人感到意外。就如网络钓鱼模块的屏幕画面所示,这个特殊的殭尸网络目标为墨西哥的使用者,特别是当地PayPal的网站,及该国内最大的银行Bancomer。
图6、网址嫁接模块
除此之外,龙舌兰殭尸网络(Tequila botnet)也可从不同恶意URL中,透过HTTP或FTP来下载档案。这个新家族曾被发现投掷ZBOT的数据偷盗及假防毒软件恶意软件。
不过一般消费者并非是这个殭尸网络幕后网络犯罪份子剥削的唯一对象,AdSense模块会让网站与网站的广告重复地被载入。事实上,网络犯罪份子利用此模块来提升网站的交通流量,增加广告网络如Google谷歌的AdSense所支付的费用。
图 7、AdSense模块
除了被发现出现在恶意网站中外,龙舌兰殭尸网络(Tequila botnet)也可透过如USB装置及MSN Messenger等进入系统。殭尸网络会传送夹带了档案的讯息(以附加文件之类的方式),或恶意软件的联结。
图8、MSN Messenger繁衍模块
由于殭尸网络被破获,其控制中心伺服主机的地点已不存在。但如果其开发者开始新的攻击并散布新档案,傀儡殭尸的数量将会再度增加,也会让开发者在未来再去为殭尸网络创作新的模块。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者