6月4日訊 暗網(wǎng)情報(bào)公司 Flashpoint 在2018年5月30日發(fā)布報(bào)告表示，臭名昭著的銀行木馬 IcedID 和 Trickbot 背后的僵尸網(wǎng)絡(luò)操縱者已經(jīng)聯(lián)合起來(lái)，充分利用這兩種木馬騙取受害者現(xiàn)金。

兩大金融網(wǎng)絡(luò)犯罪“巨頭”背后勾結(jié)

非常棘手的問(wèn)題是，F(xiàn)lashpoint 公司的研究人員發(fā)現(xiàn)感染了 IcedID 的計(jì)算機(jī)竟然在下載另一款?lèi)阂廛浖?Trickbot，這是該公司在對(duì) IcedID 惡意軟件的研究過(guò)程中首次發(fā)現(xiàn)了這種合作，IcedID 和 Trickbot 后面的僵尸網(wǎng)絡(luò)操縱者似乎已經(jīng)將銀行受害者們置于雙重威脅之中。

惡意軟件之間通常相互“排斥”

Flashpoint 的研究主管維塔利·克雷茲表示，在意識(shí)到上述情況后，便開(kāi)始思考和著手研究這種情況發(fā)生的原因，IcedID 和 Trickbot 的這種聯(lián)合應(yīng)該是來(lái)自惡意軟件的操縱者，而不一定是開(kāi)發(fā)者。 克雷茲表示，惡意軟件通常會(huì)攻擊受害者的數(shù)據(jù)，尤其是在競(jìng)爭(zhēng)激烈的銀行業(yè)市場(chǎng)，例如 SpyEye 惡意軟件就已經(jīng)被發(fā)現(xiàn)在感染機(jī)器上卸載類(lèi)似的 Zeus 木馬。

Trickbot 木馬瞄準(zhǔn)多國(guó)銀行

Trickbot 木馬 從2016年年中開(kāi)始，Trickbot 已成為一款負(fù)責(zé)瀏覽器中間者攻擊（man-in-the-browser attack）的木馬病毒。該惡意軟件與 Dyre 銀行木馬具有多種相同屬性，被認(rèn)為是 Dyre 的繼任者，針對(duì)金融機(jī)構(gòu)發(fā)動(dòng)攻擊。Dyre 銀行木馬2015年被俄羅斯警方“消滅”。Flashpoint 公司的研究人員認(rèn)為，TrickBot 背后的網(wǎng)絡(luò)犯罪分子可能十分了解 Dyre 或簡(jiǎn)單重用了 Dyre 的代碼。

Trickbot 木馬利用多個(gè)模塊（包括泄露的漏洞），針對(duì)各種惡意活動(dòng)的受害者進(jìn)行攻擊，如加密貨幣挖礦和 ATO 操作的受害者們。

2017年7月，TrickBot 銀行木馬背后的黑客正在對(duì)美國(guó)銀行發(fā)起新一輪攻擊。有僵尸網(wǎng)絡(luò) Necurs 助力，TrickBot 新一輪攻擊活動(dòng)也針對(duì)歐洲、加拿大、新西蘭、新加坡等國(guó)的金融機(jī)構(gòu)。TrickBot是首個(gè)，也是唯一通過(guò)重定向計(jì)劃覆蓋24個(gè)國(guó)家的銀行木馬。

IcedID 木馬創(chuàng)建代理能力突出

IcedID 木馬于2017年被 IBM X-Force 研究團(tuán)隊(duì)的研究人員所發(fā)現(xiàn)。這款木馬被認(rèn)為具備多個(gè)突出的技術(shù)和程序，其中最值得注意的是該木馬創(chuàng)建代理的能力，其創(chuàng)建的代理可用于竊取多個(gè)網(wǎng)站的憑證，且主要針對(duì)金融服務(wù)。

克雷茲表示，IcedID 應(yīng)該是直接通過(guò)電子郵件發(fā)送垃圾郵件，然后該惡意軟件就扮演了安裝 TrickBot 的下載器，隨后 TrickBot 又會(huì)在受害者的機(jī)器上安裝其他模塊。 這兩種惡意軟件結(jié)合起來(lái)，使用一系列方法和工具從受害者處竊取銀行憑證，包括令牌掠奪者、重定向攻擊和 web 注入。

Flashpoint 公司認(rèn)為，這樣的攻擊極其復(fù)雜。在入侵者實(shí)施攻擊的過(guò)程中，還有其他的模塊可以讓入侵者深入了解受害者的機(jī)器，并擴(kuò)展攻擊的廣度和范圍，進(jìn)而使他們能夠從已入侵的機(jī)器中獲得額外的潛在利益源。 這種雙刃劍的威脅不僅為入侵帶來(lái)了一種新的工具力量，而且對(duì)于操控者而言，這種合作吸引了更多可開(kāi)展高效賬戶(hù)接管行為的欺詐操控者。

Trickbot 和 IcedID 協(xié)作方式復(fù)雜

Flashpoint 公司表示，操控負(fù)責(zé)人可能監(jiān)管著一個(gè)復(fù)雜的欺詐者網(wǎng)絡(luò)，這些網(wǎng)絡(luò)欺詐者們又連接了被這兩種木馬感染的機(jī)器。這個(gè)操控負(fù)責(zé)人被稱(chēng)作 botmaster，負(fù)責(zé)操作僵尸網(wǎng)絡(luò)的命令和控制，以進(jìn)行遠(yuǎn)程程序執(zhí)行。 同時(shí)，克雷茲表示，構(gòu)成這個(gè)欺詐者網(wǎng)絡(luò)的不法分子可能只是通過(guò)別名相互認(rèn)識(shí)，且都是各自領(lǐng)域內(nèi)的行家。

Flashpoint 公司還在報(bào)告中表示，根據(jù)對(duì) TrickBot 和 IcedID 僵尸網(wǎng)絡(luò)操作的語(yǔ)言分析和調(diào)查表明，這個(gè)設(shè)計(jì)僵尸網(wǎng)絡(luò)的互活動(dòng)屬于一個(gè)小組織，該組織負(fù)責(zé)購(gòu)買(mǎi)銀行惡意軟件、管理感染流、向項(xiàng)目相關(guān)人員（包括流量操控者、網(wǎng)站管理員和 錢(qián)騾子）支付款項(xiàng)以及接受洗錢(qián)收益等。

事實(shí)上，當(dāng)受害者登錄到被感染系統(tǒng)上相關(guān)的銀行頁(yè)面時(shí)，botmaster 通過(guò)后端的“jabber_on”字段接受 XMPP 或 Jabber 通知。

聯(lián)合的惡意軟件操作具有執(zhí)行賬戶(hù)檢查（或憑證填充）的功能。該功能可確定受害者機(jī)器的價(jià)值及其訪(fǎng)問(wèn)權(quán)限，因此，惡意分子可對(duì)具有更高價(jià)值的目標(biāo)進(jìn)行網(wǎng)絡(luò)滲透，并利用其他被入侵的目標(biāo)進(jìn)行加密貨幣挖礦活動(dòng)。

隨后，botmaster 可提取受害者的登錄憑證，從而獲取密保問(wèn)題的答案以及電子郵件地址，然后將這些信息傳遞給真正負(fù)責(zé)操作的個(gè)人。同時(shí)，錢(qián)騾子們利用這些信息，在受害者所在地的同一金融機(jī)構(gòu)開(kāi)設(shè)銀行賬戶(hù)。他們利用該賬戶(hù)來(lái)接收欺詐賬戶(hù)清算所（ACH）和電匯，然后將收益轉(zhuǎn)發(fā)給僵尸網(wǎng)絡(luò)的所有者或中間人。

Flashpoint 公司還指出，基于 TrickBot 和 IcedID 僵尸網(wǎng)絡(luò)操控者機(jī)器共享的后端基礎(chǔ)設(shè)施，這些操控者們很可能將繼續(xù)展開(kāi)密切的合作，以便將被盜賬戶(hù)變現(xiàn)。

目前，這種攻擊的攻擊范圍和已被盜取的金額尚不清楚。克雷茲預(yù)測(cè)，未來(lái)將有更多的僵尸網(wǎng)絡(luò)操控者們開(kāi)始類(lèi)似的合作，金融機(jī)構(gòu)將面臨更多的威脅。