新型銀行木馬Emotet盜取德國網民網銀證書
責編:admin |2015-01-13 17:24:37微軟安全研究人員發現,在德國泛濫的垃圾郵件風潮中正在傳播一個強大的銀行木馬新變種,該木馬意在盜取德國普通網民的網銀證書。
Emotet木馬介紹
Emotet木馬在去年6月份被安全廠商趨勢科技首次曝光。據趨勢科技所說,Emotet最突出的特點是其網絡嗅探能力,通過hook 8個網絡API它能夠捕獲通過https協議傳輸的數據。
Emotet主要通過垃圾郵件進行傳播,郵件中含有一個掛馬網站的鏈接,或者包含一個偽裝成PDF文檔圖標的木馬。
自從去年11月份以來微軟一直在監測一種Emotet銀行木馬的新變種Trojan:Win32 / Emotet.C。該新變種木馬靠隱藏在垃圾郵件中傳播,并在去年11月份傳播量達到了頂峰。
變種木馬出新招
來自微軟惡意軟件防護中心的HeungSoo Kang發現了一個垃圾郵件樣本,該郵件使用德語所寫,里面包含了一個有害網站的鏈接,這表明該惡意傳播活動的目標主要是德語使用者和銀行網站。
這種垃圾郵件一般偽裝成某種欺詐性索賠,例如電話賬單、銀行發票或來自貝寶(PayPal)的信息,以此來吸引潛在受害者的注意。
一旦系統感染該木馬,它將下載一個包含一系列目標銀行和服務的配置文件和一個用于攔截和阻塞網絡流量的代碼文件。
最令人擔憂的是該木馬的網絡嗅探功能,因為利用該功能網絡罪犯可以對網絡上傳播的信息無所不知。簡而言之,即黑客可以在用戶毫無察覺的情況下將他們的網銀數據偷走。
該木馬能夠通過包括微軟的Outlook,Mozilla的Thunderbird和即時消息程序如Yahoo Messenger和Windows Live Messenger等各種各樣的電子郵件程序拿到網銀證書。
“所有被盜的信息會自動發回給木馬的指令控制服務器,此外其他組件可以通過該服務器發送垃圾郵件。我們檢測到的Emotet垃圾郵件組件為Spammer:Win32 / Cetsiol.A。” Kang寫道。
防御措施
因為包含有Emotet木馬的垃圾郵件由合法賬號發出,所以它們很難被郵件服務器濾除。因此,如“回調確認”這種傳統的反垃圾技術面對該木馬將無能為力。
然而,有一種技術可以對抗這些垃圾郵件,那就是可以通過檢測垃圾郵件的來源賬號是否真實存在,以此來拒絕接收那些來自虛假賬號的垃圾郵件。
不過,還是建議用戶不要打開或點擊來自可疑郵件的附件和鏈接,如果郵件來自你的銀行機構或者對你比較重要的地址,那么最好多次確認之后再打開。