揭密俄罗斯网络银行犯罪组织的攻击手段
作者:星期五, 十月 10, 20140

俄罗斯网络罪犯通过隐蔽手法传播恶意软件,感染了50万余台美国的个人计算机。该恶意软件能够记录网络银行的在线交易并盗取账户信息,而且接近60%的恶意软件活动包括了美国最大的5家银行。昨日,电子邮件安全公司Proofpoint发布报告披露了这一网络犯罪活动的细节。

该网络犯罪组织为了避开安全人员的监视,先是在地下论坛上交易WordPress站点的管理员登录账户列表,然后通过定制的工具登录站点,并安装服务器端的脚本建立一个作为后门使用的webshell。

00这个很难被发现的webshell可以让黑客下载恶意代码,用于感染访问该站点的用户计算机。但在感染之前,黑客会使用自动检测方法来检测用户计算机是否存在可以被利用的漏洞,包括Java,Flash,PDF和IE浏览器。

|“通过对用户计算机的过滤,可以让黑客最大化攻击的成功率,隐形地运行漏洞利用程序。”

所有的漏洞利用程序都会通过工具的自动检测,以确定是否会被最广泛使用的25大防病毒软件检测出来。一旦被VirusTotal上超过5家的厂商检测出来,该工具会通过ICQ给攻击者发送警告。

0该恶意软件安装的第一个组件称为Qbot,是一个用来盗取银行登录证书的木马。Qbot能够连接该犯罪团伙的命令控制服务器。

第二个组件称为SocksFabric,它的使用是建立一个付费隧道服务,可以允许其他攻击者访问偷来的数据。

该俄罗斯犯罪团伙只是网络金融犯罪分子的一个子集,使用大规模突破性的手段入侵网站,主要包括SQL或命令注入。这种攻击方法很容易被检测到,也容易导致打掉大规模的僵尸网络。

这种犯罪团伙与国家支持的网络间谍行动不可同日而语,后者复杂高级的多。尽管如此,此报告的详细调查内容也证明了俄罗斯网络犯罪组织针对网络银行账户展开的攻击活动已经存在很长时间了。(关注“信息安全知识”,回复“prf1007”获得报告下载地址)

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章