Necurs僵尸网络攻击美国金融机构 利用Trickbot银行木马窃取账户信息和欺诈

在2016年9月, Fidelis公司发现变种木马TrickBot ,近日, Necurs僵尸网络 向美国金融机构传播 Trickbot 恶意软件, 与此同时,新的 Emotet 银行木马攻击被发现-信令愈发复杂的攻击。

Necurs僵尸网络攻击美国金融机构

Necurs僵尸网络已经开始向美国的金融机构内传播Trickot 银行木马, 预示着金融行业正在遭受规模更大、复杂度更高的攻击。Trickbot, 一种专门针对金融企业的威胁, 自2016年以来一直隐藏在Man-in-the-browser (MitB) 攻击的背后。到目前为止, 它的 webinject 配置只用于打击美国以外的组织。

Flashpoint的研究人员在7月17日发现了一个新的 Trickbot 垃圾邮件攻击行动, 称为 "mac1" 。最新的一轮攻击是由 Necurs 僵尸网络推动的, 被用来攻击50家额外的银行, 包括base在美国的13家公司。

Necurs, 世界上最大的垃圾邮件僵尸网络之一, 出现在 2012年, 因传播垃圾邮件而闻名。 Flashpoint恶意软件研究员保罗博比奇说, 他在过去的几年内一直在监测 Necurs 。

"它发送了大量的垃圾邮件, 其中之一是最近开始传播的Trickbot,

攻击中主要利用钓鱼邮件传播银行木马Trickbot

Mac1 有一个扩展的 webinject 配置, 它被用来攻击美国和国外金融机构的客户。其他受害国包括英国、新西兰、法国、澳大利亚、挪威、瑞典、冰岛、加拿大、芬兰、西班牙、意大利、卢森堡、瑞士、新加坡、比利时和丹麦。

到目前为止, Mac1 至少已经发动了三次不同的垃圾邮件攻击, Flashpoint报告说。第一次是一封 html 电子邮件,被伪装成来自澳大利亚电信公司的票据。其中包含一个windows 脚本文件的zip附件以及模糊的 javascript 代码。单击后, 文件被下载并执行 Trickbot 恶意payload。

Trickbot 的主要顾虑之一是窃取账户信息和欺诈, 随着恶意软件的传播, 感染的美国金融机构可能会更多。Burbage 说, Mac1 的主要意义在于它的传播范围有多广。

虽然其主要目标是金融机构, 但专家预计其他公司最终也将面临风险。Flashpoint高级情报分析家维塔利说

"我们认为它有能力在未来发展出新的功能," 。

"就目前而言, 这是一个有潜力自我超越的银行木马。”

Trickbot 的最新版本, 以及它向美国的传播, 表明其作者的复杂性, 维塔利继续说。Flashpoint相信恶意软件的背后是一个讲俄语的团伙。他指出 Necurs 只被高级攻击者使用。

"我一直对 Trickbot 团伙的老练和机智感到惊讶,"

"他们不断开发新的手段来扩散恶意软件以及绕过垃圾邮件过滤器...... 他们也有基础设施来大规模扩散恶意软件。”

更多分析见这里:https://www.flashpoint-intel.com/blog/trickbot-targets-us-financials/

维塔利表示, Trickbot 被认为是 Dyre 银行特洛伊木马的后继者, 他们的基础结构与配置文件的设置相似。Trickbot 的作者可能对 Dyre 或重用旧的源代码非常熟悉。Dyre 背后的威胁行为者历来以美国、英国和加拿大的西方金融机构为目标。

博比奇和维塔利预计 Trickbot 将继续发展并瞄准美国和世界各地的金融客户。

安全公司发现新的银行木马Emotet

Fidelis Cybersecrrity今天发布了对 Emotet payload的分析结果, 它最初被用于凭据盗窃, 但现在被用来提供银行木马。

Emotet 使用大规模群发垃圾邮件来传播病毒。Fidelis发现 Emotet 利用基本的社会工程学来使用垃圾邮件进行传播。一些示例中有内部网络传播组件, 或者是在最近几年中没有发现的银行恶意软件作者的新策略。

Fidelis的威胁系统管理人员约翰说, 早期的银行木马程序是粗糙的, 并且是为尽可能多的目标而设计的。Emotet 和其他恶意软件现在使用注入来对特定的银行实施定制化攻击, 他解释说。

"一整个生态系统都围绕这这种类型的恶意软件,包括开发程序员, 恶意软件传播系统、注入程序员、金钱骡子和地下犯罪市场" 例如Alphabay

更多分析见:https://www.fidelissecurity.com/threatgeek/2017/07/emotet-takes-wing-spreader

Fidelis报道, 当我们见证了大规模 WannaCry 和 Petya病毒 攻击的强大危害力之后,对于 其他网络罪犯包括传播者的攻击已经不足为奇了。更多的恶意软件作者是在新闻报道的攻击手段中增加新功能, 这可能表明一个趋势, 我们在未来将看到更多类似的情况发生。

原文发布时间:2017年7月24日

本文由:darkreading发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/us-banks-targeted-with-trickbot-trojan

时间: 2025-01-27 01:35:53

Necurs僵尸网络攻击美国金融机构 利用Trickbot银行木马窃取账户信息和欺诈的相关文章

比特币“玩家”小心被银行木马TrickBot盯上

研究人员上周发现TrickBot银行木马, TrickBot新增功能将目标瞄向美国最火爆的加密货币钱包服务平台Coinbase.com,以窃取该平台账户中的加密货币资金. TrickBot银行木马2016年秋天首度浮出水面,大多数专家认为这款木马由Dyre银行木马的部分开发人员开发. TrickBot短暂的历史过往 鉴于TrickBot从一开始就具备许多高级功能,开发人员可能具备渊博的专业知识.TrickBot不断攻击网上银行,波及的国家也越来越多,刚开始主要针对澳大利亚.而如今,TrickBo

银行木马trickbot更新了 新版trickbot可以窃取加密货币 coinbase.com用户要当心

上周,在攻击活动中发现trickbot银行木马增加新能,现在能够窃取存储在coinbase.com账户窃取资金.2016年秋天, trickbot银行木马出现 ,大多数专家认为他是Dyre银行木马开发者开发的变种,Dyre银行木马开发者在2015年底于俄罗斯被捕. trickbot银行木马发家史 由于恶意软件编码器与专业人员的介入,TrickBot从一开始就就具备了很多先进的功能.随着时间的推移,trickbot的能力从针对某个银行,开始向整个国家拓展,每个月的传播量越来越多.目前,trickb

金融安全资讯精选 2017年第一期:云战略下的安全思维转型与新认知

首期寄语      从高大的银行建筑,到一丝不苟的流程设计,金融机构对外的第一品质要求是安全感.营造"安全感"的背后,安全能力的完整搭建是一切的起点和路径.对金融行业来说,安全不再是构建看得见的"围墙",而是在拆掉围墙.融入互联网环境后,依然保证足够的安全能力,依然可以稳定.安全.   居危,思安.我们先要洞察现状,知晓危机.这也是"金融安全资讯精选",想给行业安全决策者带来的价值.以其为鉴也好,取他山之石也好,我们期望你炼就不破金身,期待你把握

卡巴斯基:摄像机是物联网僵尸网络攻击的主要来源

卡巴斯基实验室部署的一套蜜罐系统获取了一些与物联网(IoT)安全有关的信息,其中包括黑客攻击类型.攻击源和受攻击设备的地理分布等等. 卡巴斯基的蜜罐系统模拟运行了Linux的各种设备.在其部署几秒钟之后,来自单一IP地址的攻击次数就达到了近10万次.这些攻击通常来自已经被恶意软件感染的设备,它们试图劫持其他易受攻击的系统.遭到攻击的设备会成为僵尸网络的一部分,例如Mirai.Persirai和Amnesia,之后通常被用于启动分布式拒绝服务(DDoS)攻击. 攻击大多利用telnet协议 大约8

鼻祖Qbot银行木马攻击金融机构 导致AD活动目录用户账户大量锁定 能对抗杀软和分析

ibm 安全研究人员警告称, 最近恶意软件引发的活动目录 (ad) 锁定影响了许多组织, 这似乎是 Qbot 银行恶意软件造成的. 成百上千的 ad 用户在快速连续的情况下被锁在公司的域之外, 从而阻止受影响的组织的员工访问他们的端点.公司服务器和网络资产. Qbot在2009年首次发现,由于长时间的不活动, Qbot 继续被放在最活跃的恶意软件家族的前10名单的底部, 可以称得上是同类别中最古老的威胁之一. Qbot 银行木马正在攻击金融机构 这些事件显然影响了许多组织, Qbot 银行木马

比里亚遭IoT僵尸网络攻击:与Dyn DNS遭攻击模式相似

近日非洲国家利比里亚遭受僵尸网络攻击,网络全面瘫痪,这个攻击背后的僵尸网络似乎与上个月Dyn DNS服务遭受的物联网僵尸网络攻击相同. 本周,利比里亚的互联网遭受了严重的破坏,强大的分布式拒绝服务(DDoS)攻击破坏了该国服务提供商的系统,而这些服务提供商使用同一根互联网电缆为全国提供网络服务,导致全国网络瘫痪.安全专家将这次攻击指向Mirai僵尸网络:根据安全架构师Kevin Beaumont表示,这个#14 Mirai僵尸网络可能是由上个月Dyn域名系统(DNS)DDoS攻击背后的威胁行为者

要当心了!Instagram被骗子利用进行银行诈骗活动

6月7日消息,据国外媒体报道,美国宾夕法尼亚州司法部长Josh Shapiro当地时间周二宣布,三名男子因使用Instagram进行银行诈骗而被警方逮捕. 这可能是一项新技术,但社交网络正被用于一些最古老的犯罪活动. 这3名犯罪人据称是在Instagram上创建了带有银行标志的账户,并要求人们联系他们. 然后,他们说服受访者参与一项计划,从不同的银行和信用合作社那里窃取超过5万美元的资金. 调查人员在2月份了解到他们的活动,并派出卧底警员联系他们.在会议期间,他们解释了他们的计划,要求警员参与,

中国政府不再支持非银行金融机构参股内地银行

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;       据知情人士透露,外国私人股本公司和企业集团对中国内地银行新的战略投资,将难以获得监管机构的批准,原因是中国政府不再支持非银行金融机构参股内地银行. 银行家和私人股本行业的高管表示,中国政府已经暗示,现在只欢迎资本充足的银行和金融机构入股,认为从较长期的角度看,它们是更合适的合作伙伴. 这一政策转变意味着,中国内地银行业正走向成熟.不到3年前,中国政府还迫

以色列研究机构称已可预测僵尸网络攻击

以色列某研究机构称可以通过对孤立攻击事件的统计,预测大型僵尸网络攻击.  本古里安大学研究人员开发了一种工具,它能够预测未来将会发生的僵尸网络攻击,并分辨人类和自动脚本的区别. 杜杜·曼兰(Dudu Mimran)是德国电信创新实验室的首席技术官,他表示团队正在研究如何使用该工具帮助执法行动. 研究的完整成果目前尚未发表,但曾率研究团队破解物理隔离系统的曼兰表示,这项成果是基于过去一年中通过蜜罐收集到的攻击数据设计的. "我们还在进一步研究这项成果将在哪些方面有利于执法机构,因此没有发表完整的研