駭客趁金融風暴打劫
雖然觀察社交工程攻擊動態的專家預期在金融危機爆發之際,可能出現一波攻擊熱潮,但無論是否遭金融危機波及,銀行現已成為社交工程圈套的一項標準.。然而,由於此刻正面臨風暴的金融業者已成為社會大眾關切的對象,因此使用者成為銀行相關詐騙圈套受害者的可能性也愈來愈高。線上銀行使用加密通訊協定來保障網路傳輸資訊的安全,而駭客也不放過利用這項技術為非作歹的機會。
根據「 Trendlabs 趨勢科技全球網路安全實驗室」近日的報告指出,繼四月及五月出現的網路釣魚圈套(請參閱TrendMicro Malware blog部落格相關文章假數位憑證、 Rock 網路釣魚工具套件之後,在新聞浪頭上的美林集團(Merill Lynch)也先後遭受駭客利用,首先是5月趨勢科技內容安全小組發現一波鎖定美林商務中心 (Merill Lynch Business Center) 客戶散發的網路釣魚郵件後(Merrill Lynch’s Rock Phish Digital Certificate),9月底又發現一個詐騙圈套鎖定了美國第四大的連鎖銀行 Wachovia,不到一周有一個極為雷同的圈套利用美林集團作為誘餌,該公司最近才因為美國銀行 (Bank of America) 備受矚目的脫困收購案而受到媒體高度關注。該信件聲稱為了提升帳號安全性,必須點選信中所附連結,填寫5個私人相關問題,以便將來登錄時進一步安全驗證。當使用者因懼怕財產因安全性不足而蒸發,往往會按下連結,如此一來便會下載名為 BKDR_AGENT.AWAF 的惡意程式。它會破壞系統安全性,允許遠端使用者在遭感染系統上執行命令,還會植入具有 Rootkit 功能的 TROJ_ROOTKIT.FX,以便於隱用於隱藏惡意檔案與執行程序。
日前趨勢科技又再發現利用假的網路傳輸安全加密機制 SSL (Secure Sockets Layer) 憑證進行詐騙的新案例。這一次惡意程式作者使用 Rock 網路釣魚工具套件偽造了 Open Banks Enterprises 網站。在下圖顯示的偽造網站中,我們可以看到加入這個開放性銀行社群的數家銀行。
和類似的網路釣魚及惡意程式散播圈套一樣,這個詐騙網站會要求使用者下載一個新的安全憑證。網站中甚至還針對 Windows 使用者與 Mac 使用者分別提供不同的選項,將使用者引導至他處下載 .EXE 檔案,這些檔案會在系統上進行惡意活動,破壞系統安全性,而非像安全憑證一樣可保障線上交易安全。
今天我們又再發現另一波數位憑證攻擊,這一次被捲入其中的是 Standard Bank。 詐騙網頁 (同樣也是使用 Rock 網路釣魚網址) 要求使用者下載一個 128 位元的升級憑證。而下載的 .EXE 檔也是屬於惡意性質。
趨勢科技已將兩個下載檔案分別定義為 TROJ_SMALL.MJZ 與 TROJ_AGENT.ARNU。TROJ_SMALL.MJZ 會下載一個偵測名稱為 TSPY_PAPRAS.AR 的間諜程式。而 TROJ_AGENT.ARNU 則會下載 Possible_Crypt,這是一個具有變更 DNS 目錄功能的惡意程式。
所有相關的惡意網域均已被 Trend Micro Smart Protection Network 封鎖。此外,這項技術還能偵測電腦上的惡意可執行檔,並提供清除解決方案。
註:垃圾郵件的樣本:
假造的美林集團來函
假造的美國第四大的連鎖銀行 Wachovia來函
參考原文:
In The Virtual Crime World, Merrill Lynch Follows Wachovia’s Fate (美林 (Merrill LynchIn) 集團在虛擬世界中面臨與 Wachovia 銀行相同的命運)
Fake SSL Certificates Seen Again (又見假 SSL 憑證)