TSPY_BANKER木馬病毒攻擊韓國銀行
責編:admin |2014-12-19 17:39:35趨勢科技的安全專家檢測到了一個名叫TSPY_BANKER.YYSI的新銀行木馬;它的攻擊目標主要是韓國各大金融機構。TSPY_BANKER.YYSI是BANKER惡意軟件家族下屬的一個銀行惡意軟件;它會把用戶重定向到一個受攻擊者控制的網站上。
受影響的金融機構有:
韓亞銀行、農業協同銀行、韓國工業銀行、新韓銀行、友利銀行、韓國國民銀行、消費金融服務中心
IE暗藏木馬
只有當受害者使用IE瀏覽器訪問銀行網站時,TSPY_BANKER.YYSI才可能把受害者重定向到一個釣魚頁面。到這里可能會有很多人和我一樣感到迷惑了,用IE瀏覽器會受到攻擊者攻擊,那我們完全可以使用其他的瀏覽器來避免呀,沒必要非得在一棵樹上吊死。這就要說說韓國的法律了,它規定用戶在訪問在線銀行服務和進行網上購物時必須使用IE瀏覽器(怪不得呢,茅塞頓開)。所以韓國大約有75%的用戶都是使用IE瀏覽器。
一旦受害者感染了該木馬病毒,那么攻擊者就可監視受害者所有的網絡活動,并且當受害者訪問特定的金融機構網站時,攻擊者會將其重定向到受他們控制的釣魚網站上。
趨勢科技的安全專家還發現TSPY_BANKER.YYSI會感染韓國一個較流行的搜索引擎。當用戶訪問搜索引擎網站時,會彈出一個受攻擊者控制的金融機構網站鏈接。
一個比較有趣的事:
TSPY_BANKER.YYSI惡意軟件的C&C基礎設施利用的是一個很流行的社會媒體網絡Pinterest。攻擊者通過Pinterest為橋梁接收并發布指令。
再次利用已打補丁的漏洞
研究者發現攻擊者利用的漏洞主要是:兩個IE漏洞(CVE-2013-2551、CVE-2014-0322)、一個微軟漏洞( CVE-2014-6332 ),但值得一提的是這三個漏洞都已被打上了補丁。專家們發現這次的漏洞代碼和之前的Sweet Orange(甜橙)漏洞代碼很相似。
但是誰是幕后的操縱者呢?
到目前為止還沒有查出幕后的操縱者是誰,但是有人猜測是中國的黑客所為。又黑我大天朝,小心天朝發怒哦!