微軟安全研究人員發(fā)現(xiàn)，在德國(guó)泛濫的垃圾郵件風(fēng)潮中正在傳播一個(gè)強(qiáng)大的銀行木馬新變種，該木馬意在盜取德國(guó)普通網(wǎng)民的網(wǎng)銀證書(shū)。

[[125987]]

Emotet木馬介紹

Emotet木馬在去年6月份被安全廠(chǎng)商趨勢(shì)科技***曝光。據(jù)趨勢(shì)科技所說(shuō)，Emotet最突出的特點(diǎn)是其網(wǎng)絡(luò)嗅探能力，通過(guò)hook 8個(gè)網(wǎng)絡(luò)API它能夠捕獲通過(guò)https協(xié)議傳輸?shù)臄?shù)據(jù)。

Emotet主要通過(guò)垃圾郵件進(jìn)行傳播，郵件中含有一個(gè)掛馬網(wǎng)站的鏈接，或者包含一個(gè)偽裝成PDF文檔圖標(biāo)的木馬。

自從去年11月份以來(lái)微軟一直在監(jiān)測(cè)一種Emotet銀行木馬的新變種Trojan:Win32 / Emotet.C。該新變種木馬靠隱藏在垃圾郵件中傳播，并在去年11月份傳播量達(dá)到了頂峰。

變種木馬出新招

來(lái)自微軟惡意軟件防護(hù)中心的HeungSoo Kang發(fā)現(xiàn)了一個(gè)垃圾郵件樣本，該郵件使用德語(yǔ)所寫(xiě)，里面包含了一個(gè)有害網(wǎng)站的鏈接，這表明該惡意傳播活動(dòng)的目標(biāo)主要是德語(yǔ)使用者和銀行網(wǎng)站。

這種垃圾郵件一般偽裝成某種欺詐性索賠，例如電話(huà)賬單、銀行發(fā)票或來(lái)自貝寶(PayPal)的信息，以此來(lái)吸引潛在受害者的注意。

一旦系統(tǒng)感染該木馬，它將下載一個(gè)包含一系列目標(biāo)銀行和服務(wù)的配置文件和一個(gè)用于攔截和阻塞網(wǎng)絡(luò)流量的代碼文件。

最令人擔(dān)憂(yōu)的是該木馬的網(wǎng)絡(luò)嗅探功能，因?yàn)槔迷摴δ芫W(wǎng)絡(luò)罪犯可以對(duì)網(wǎng)絡(luò)上傳播的信息無(wú)所不知。簡(jiǎn)而言之，即黑客可以在用戶(hù)毫無(wú)察覺(jué)的情況下將他們的網(wǎng)銀數(shù)據(jù)偷走。

該木馬能夠通過(guò)包括微軟的Outlook，Mozilla的Thunderbird和即時(shí)消息程序如Yahoo Messenger和Windows Live Messenger等各種各樣的電子郵件程序拿到網(wǎng)銀證書(shū)。

“所有被盜的信息會(huì)自動(dòng)發(fā)回給木馬的指令控制服務(wù)器，此外其他組件可以通過(guò)該服務(wù)器發(fā)送垃圾郵件。我們檢測(cè)到的Emotet垃圾郵件組件為Spammer:Win32 / Cetsiol.A。” Kang寫(xiě)道。

防御措施

因?yàn)榘蠩motet木馬的垃圾郵件由合法賬號(hào)發(fā)出，所以它們很難被郵件服務(wù)器濾除。因此，如“回調(diào)確認(rèn)”這種傳統(tǒng)的反垃圾技術(shù)面對(duì)該木馬將無(wú)能為力。

然而，有一種技術(shù)可以對(duì)抗這些垃圾郵件，那就是可以通過(guò)檢測(cè)垃圾郵件的來(lái)源賬號(hào)是否真實(shí)存在，以此來(lái)拒絕接收那些來(lái)自虛假賬號(hào)的垃圾郵件。

不過(guò)，還是建議用戶(hù)不要打開(kāi)或點(diǎn)擊來(lái)自可疑郵件的附件和鏈接，如果郵件來(lái)自你的銀行機(jī)構(gòu)或者對(duì)你比較重要的地址，那么***多次確認(rèn)之后再打開(kāi)。

參考來(lái)源：HackerNews