日本东京警察局最近发现约有八万两千台计算机,感染了一种叫”VAWTRAK”新型病毒,能够非法转账网络银行存款。
为了加强网上银行安全,不少银行都会要求客户根据手机,输入只能使用一次的验证码。不过东京警察局发现有黑客利用新型计算机病毒及网络诈骗网站,成功盗取受害者的验证码,将受害者的存款暗中转账到其他账户。过去一年中类似案件多达一千八百宗,涉及金额共二十九亿日元。
去年八月份日本石川县一名女子曾举报遭黑客盗取验证码,从账户盗走九十六万日元。警方发现受害者的计算机感染VAWTRAK病毒,当登录网络银行后,画面出现要求输入验证码的假网站,只要受害人输入相关数据便中招,在受害人毫不知情的情况下非法转账。
日本大约有四万四千台计算机感染这种新型病毒,其余分布在欧美与亚洲等几十个国家,日方已经通过“国际刑警组织”,向各国提供相关信息。
以下是趋势科技在今年年初对该病毒所做的分析:
银行木马VAWTRAK利用恶意宏及Windows PowerShell
趋势科技在去年发现Windows的PowerShell命令行如何被恶意宏下载程序用来散播ROVNIX。虽然在11月的攻击并没有直接利用PowerShell功能,但是我们发现银行木马VAWTRAK滥用此Windows功能同时,也利用微软Word内的恶意宏。
银行木马VAWTRAK跟窃取网络银行数据有关。被针对的银行包括美国银行、巴克莱银行、花旗银行、汇丰银行、劳埃德银行和摩根大通。过去也看过一些变种针对德国、英国、瑞士和日本的银行。
通过“联邦快递“垃圾邮件到达
感染链开始于垃圾邮件。大多数和此感染相关的邮件都伪装成来自联邦快递(FedEX)。这些假邮件通知收件人包裹寄达,还包含了收据号码。
(“联邦快递”垃圾邮件)
趋势科技发现另一封邮件来自假的美国航空(American Airlines)电子邮件地址,它通知收件人信用卡已经被用来处理交易。附上的是Word格式的电子机票,里面本应该要包含交易细节。
(“美国航空”电子邮件)
使用宏和PowerShell
当收件人打开文件后会先看到乱码。文件要求用户启用宏,左上角的安全警告会引导用户去启用该功能。
(文件启用宏前、后)
宏一旦被启用后,会在受影响系统中植入一个批处理文件,还包括一个VBS文件和一个PowerShell文件。这个批处理文件被设计用来执行VBS文件,然后提示执行PowerShell文件。PowerShell文件最终会下载VAWTRAK变种(侦测为BKDR_VAWTRAK.DOKR)。
(连到特定网址下载VAWTRAK)
使用三个组件(批处理文件、VBScript和Windows PowerShell文件)可能是种躲避侦测的手段。VBS文件具备“-ExecutionPolicy bypass”旗标绕过受影响系统的执行政策。这些政策往往被许多管理者视为”安全“功能。它们不会允许文件执行,除非符合政策要求。当使用“-ExecutionPolicy bypass”后,“不会封锁任何事情,而且没有警告或提示”。这意味着恶意软件感染链没有任何安全性封锁就可以被进行。
VAWTRAK恶意行为
一旦BKDR_VAWTRAK.DOKR进入计算机,它会从不同来源窃取数据。例如,它会从邮件服务(如微软Outlook和Windows Mail)窃取电子邮件登陆证书。它也会试图从不同浏览器(包括Google Chrome和Mozilla Firefox)窃取数据。它还会从文件传输软件或文件管理软件比如FileZilla窃取帐户信息。
此外,BKDR_VAWTRAK.DOKR可以绕过像一次性密码(OTP)的双因子身份认证,也具备像自动化转账系统(ATS)等功能。
VAWTRAK恶意软件的SSL绕过和ATS能力取决于它接收到的配置文件。配置文件包含了用于ATS和SSL的脚本,该脚本会被注入到浏览器。恶意文件可能根据目标网站而不同,SSL绕过和ATS脚本就像注入到客户端浏览器的自动化脚本。这将制造出受害者计算机上的交易已经完成的印象,减少对恶意软件的怀疑。
VAWTRAK,新与旧
使用带有恶意宏Word文件,这跟之前已知的VAWTRAK抵达方式不同。 VAWTRAK变种之前是漏洞攻击带来的恶意软件;有些VAWTRAK感染是Angler漏洞攻击被感染的一部分。使用宏的行为跟其它数据窃取恶意软件类似,尤其是ROVNIX和DRIDEX。
我们看到另一个明显的变化是恶意软件所使用的路径和文件名。VAWTRAK变种之前使用以下路径和文件名:
%AllUsers Profile%\Application Data\{random file name}.dat
%ProgramData%\{random file name}.dat
它们之后改变成:
%AllUsers Profile%\Application Data\{random folder name}\{random filename}.{randomfile extension}
%ProgramData%\{random folder name}\{random filename}.{random file extension}
路径和文件名的变化也可能对安全性造成影响,如果系统依赖于行为规则来进行侦测。假如侦测VAWTRAK的规则是寻找%All Users Profile%\ApplicationData和%Program Data%目录内的DAT扩展名,就需要加以更新才能捉到这些VAWTRAK样本。
利用宏躲避侦测
VAWTRAK是最新利用宏进行攻击的恶意软件家族。这个特定VAWTRAK变种利用密码保护宏,使分析这一恶意软件变得更加困难,因为没有密码或特殊工具就无法检测或打开宏。
受影响国家
趋势科技从2014年11月开始就一直在监控这一波新的VAWTRAK感染。在受影响国家中,美国的感染数量最多,其次是日本。之前来自趋势科技主动式云端截毒服务Smart Protection Network的数据显示大多数VAWTRAK感染发现在日本。
(受新VAWTRAK变种影响的前十名国家)
结论
自从VAWTRAK在2013年8月第一次被发现假冒成寄件通知的附件以来,已经有过一些显著的改进。再加上连续使用了恶意宏和Windows PowerShell,网络犯罪分子已经制造出进行数据窃取的理想工具。趋势科技的主动式云端截毒技术可以保护用户免于此威胁,封锁所有相关的恶意文件、网址和垃圾邮件。也建议用户要能够分辨假冒和正常的电子邮件,比如此案例中真正的电子机票或收据跟假冒的不同。
转载请标明文章来源于趋势科技!