导语:Cisco公司的Talos安全情报研究小组中和flashpoint密切合作,分析了Floki木马,研究发现Floki木马就是臭名昭著的Zeus家族的最新变种。
Cisco公司的Talos安全情报与研究小组在最近几个月中和另外一家网络安全公司flashpoint密切合作分析了Floki木马,研究发现Floki木马就是臭名昭著的Zeus家族的最新变种,Zeus是一款众所周知的银行木马,在葡萄牙语、英语和俄语区,2011年Zeus 2.0.8.9源代码被泄露后,其家族繁衍的速度就难以控制了,Zeus还是当前许多针对桌面用户的银行木马的基础。跟Dridex或者其它网络注入木马不同,Zeus利用浏览器中间人键盘日志和形式抓取方式窃取客户数据。
之所以说,Floki是最新的变种,是因为它的源代码是基于Zeus源代码开发的并且还包括一些新功能,比如防检测功能。
Talos团队称:
该恶意软件的特别之处就在于它并不是对Zeus木马特点的简单复制,而是通过增加一些比较先进的功能来让其成为新一代的犯罪工具。经过不断地更新,目前该木马已具备了反检测技术和使用Tor网络。
Talos的恶意软件研究人员在Floki中发现了一个新的源代码,允许Tor网络实施威胁,但目前该功能似乎还不太好用。
在我们对Floki的分析过程中,发现其对泄露的Zeus源代码中的点滴木马文件(dropper)机制进行了修改,目的是使Floki更难以被检测到。我们还发现了允许Floki使用Tor网络的新代码。
根据以下5个证据,Flashpoint的安全专家判定它的开发者应该就在巴西。
1.开发者的通讯语音使用的是葡萄牙语 2.目标系统的默认语言设置为葡萄牙语 3.软件的域或IP范围都定位在巴西 4. 默认时区设置的是Brazil UTC -03:00 5. Flashpoint分析师获得的其他信息
目前Flashpoint 已确定“flokibot”主要针对巴西、俄罗斯和英语区。PoS恶意软件对零售业及酒店行业等产生的威胁非常严重,尤其是在元旦的消费高峰,所以消费者在刷卡时一定要注意安全。