概述

在今年的安全新闻中存在一个反复出现的主题，不知道你想到是什么没？没错，就是“银行木马”，这是网络犯罪分子从受害者身上找到的用于窃取资金和数据的新方法。

与勒索软件等相对简单的攻击不同，银行恶意软件需要多个攻击者共同实现，且发起难度大，难以实现货币化。Botezatu表示，银行木马的重现及增长可能是由于其他银行木马的代码泄露和勒索软件市场的过度饱和等因素的共同作用所致。

我们今年看到的很多银行木马都会让人联想到过去曾经出现过的木马。另外一些则是以新方式分布的旧威胁，并将攻击目标瞄准新的受害群体。

Terdot是2016年10月首次出现的一个银行木马，据悉，在2011年Zeus的源代码泄露之后，该银行木马就从Zeus银行木马的源代码中获取了灵感开发而成。IcedID是今年9月出现了另一种新型银行木马，其特点与Gozi、Zeus以及Dridex银行木马相同。

IBM Security的IcedID执行安全顾问Limor Kessem表示：

总的来说，IcedID与其他银行木马类似，但这也是我看到的问题所在。我们很难看到银行木马与现有变种完全不同。攻击者正在相互抄袭，并为其木马增加了一些新的功能，如反规避技术，以进一步完善恶意软件。

接下来，小编将带大家回顾一下2017年银行木马攻击受害者的新方式及其演变趋势：

2017年9大银行木马&趋势

1. Terdot银行木马

 

Bitdefender的研究人员在2016年10月首次发现了Terdot银行木马。该恶意软件的开发灵感是源自于2011年外泄的Zeus银行木马源代码，该木马超出了银行恶意软件常用的功能，甚至可用于网络间谍活动。

它具有银行木马应该具备的所有主要功能：Terdot通过伪装成PDF链接的恶意邮件进行传播。一旦点击后，便会迅速感染计算机并创建Web代理以修改事务。 任何受害者发送到银行的数据都会被实时截获和修改，此外，该恶意软件还会拦截并修改银行的回应。

Terdot还可用于查看和修改电子邮件和社交媒体平台上的流量，收集受害者的财务信息，窃取凭据，在访问的网页上注入HTML代码，以及下载和执行文件。 因为它存在于浏览器中，所以它可以无限制地访问使用该浏览器发布的内容。此外，它还可以监视受害者的活动并注入间谍软件。

Botezatu表示，想要检测和清除该恶意软件具有一定的难度，因为它具有确保持久性的模块，它可以将自己注入到机器上的每个进程中，而这些进程就像是一个个监视器一样发挥效用。

2. IcedID银行木马

 

2017年11月，IBM X-Force的研究人员报告了一种名为“IcedID”的新型银行木马程序，它是9月份首次出现的高级木马程序。其攻击目标包括银行、支付卡提供商、移动服务提供商、工资单、网络邮件、美国和加拿大的电子商务网站以及英国的两家主要银行等。

IcedID是通过Emotet银行木马分发的，Emotet木马是为了收集和维护僵尸网络而构建的。Emotet银行木马主要通过垃圾邮件进行传播，且通常隐藏在包含恶意宏的生产活动文件中。一旦IcedID成功感染设备，它就可以通过目标网络进行传播，安全专家认为这一行为是旨在针对大型企业进行攻击的代表性标志。网络传播在民族国家的攻击者中很常见，但在银行木马中却很罕见。

IBM研究人员报告称，该银行木马的攻击方法包括Web注入攻击和高级重定向攻击。它可以部署在运行各种版本的Windows设备上。

IBM Security的执行安全顾问Limor Kessem表示：

IcedID恶意软件代码的复杂性是模块化的，它具有不同的细节，让人不禁联想到其他有组织的犯罪集团，可以肯定的是，该银行木马绝非业余攻击者能够构建完成的。 

3. Slience银行木马

 

Slience银行木马是卡巴斯基实验室的研究人员于2017年9月份率先发现的。它是一款危险而复杂的木马，其使用了与Carbanak银行恶意软件及其黑客组织类似的技术。Slience银行木马背后的黑客组织也被称为“Slience”，之所以名为“Slience”，是因为该木马程序能够在受害组织中保持Slience（静默）很长一段时间。与其他银行木马不同的是，该银行木马的攻击目标不是银行的客户，而是针对银行本身的经济收益。

当Slience到达时，金融机构会收到带有恶意附件的网络钓鱼电子邮件。一旦受害者点击恶意附件，就会开始一系列的下载，执行下载器，与C＆C服务器进行通信，下载并执行恶意模块，通过屏幕录制监控受害者，数据上传，凭证失窃以及远程控制访问等操作。其中“监视和控制”模块就是通过对监视器进行截图来记录受害者行为。

Silence的监控能力类似于Carbanak组织，这是一支来自东欧的网络犯罪组织，也使用网络钓鱼邮件攻击金融机构。和Carbanak一样，Silence银行木马通过长期“潜伏”在受害者的网络上来收集足够的信息，进而获得金钱收益。Silence的大部分受害者都是俄罗斯的银行，不过，它也针对马来西亚和亚美尼亚的企业实施攻击活动。

4. Emotet银行木马

 

趋势科技研究人员在2014年首次发现了银行木马Emotet。多年后的2017年9月，他们又发现了来自Emotet新变种的攻击活动，并有可能将不同类型的有效负载释放到目标系统上。Emotet新变体背后的动机保持不变，仍然是窃取信息，但安全专家有几个理由来解释为什么它又重新出现了新变体。

首先是攻击者正在触及新的地区和行业：早期版本的Emotet针对的是金融机构，但是新的数据表明，恶意软件正在触及包括医疗保健、食品和饮料以及制造业在内的各个行业的公司。Emotet的重新出现，也可能是因为新的变种正在使用多种方式进行传播。最主要的传播方法仍是使用垃圾邮件僵尸网络，但是Emotet也可以使用网络传播模块进行传播，该传播模块使用了字典攻击，来暴力破解帐户域。

研究人员还在报告中指出，由于Emotet在很长一段时间以来一直处于非活动状态，所以其目标可能也正处于疏于防范的状态。这种情况下，新的攻击和能力可能会发挥更有效的作用，新变体的恶意软件使用了垃圾邮件和横向移动攻击，因此感染企业和窃取敏感数据的机会也就变得更大了。

5. Trickbot银行木马

 

2017年7月，Flashpoint的研究人员发现Necurs僵尸网络将Trickbot银行木马病毒传染给了美国的金融机构。Trickbot银行木马被认为是Dyre银行木马的继承者，专门针对金融企业实施攻击。

被称为“mac1”的新Trickbot垃圾邮件广告活动具有扩展的webinject配置，可以攻击美国和海外的客户。它的目标是增加50家银行，并在报告时引发至少三种不同的垃圾邮件。7月晚些时候，Trickbot的新版本被发现正在使用蠕虫传播模块，研究人员认为，这可能是受到了WannaCry勒索软件攻击的启发。感染系统后，该木马将使用服务器消息块（SMB）共享在网络上进行本地传播。

Trickbot银行木马主要进行的是账户接管和欺诈行为，专家认为随着恶意软件的不断蔓延，美国金融机构面临的此类威胁可能会进一步加大。Flashpoint的研究人员表示，使用Necurs僵尸网络（出现于2012年，以传播垃圾钓鱼邮件闻名）进行传播是Trickbot银行木马复杂性的一个重要标志，且金融机构以外的企业可能也会面临此类风险。

6. Zeus Panda（宙斯熊猫）银行木马

今年11月，思科 Talos 团队发现网络犯罪分子开始利用搜索引擎优化（SEO）的关键字集合部署恶意链接，旨在传播银行木马“Zeus Panda （宙斯熊猫）”后窃取用户财务凭证与其他敏感信息。据悉，黑客主要针对与金融相关的关键字集合进行重定向链接嵌入，就连谷歌搜索引擎也未能幸免于黑客攻击。

据称，在此次攻击活动中，黑客通过使用受损的 Web 服务器，以确保在搜索“Nordea瑞典银行帐号”和“sbi银行定期存款表”时，恶意搜索结果可以在搜索引擎中排名靠前，从而增加被潜在受害者点击的可能。

经过分析后，安全专家发现了数百个恶意网页，其专门用来将受害者重定向至托管恶意 Word 文档的另一受感染网站。一旦用户点击该恶意文档，其系统将会自动下载并执行一个 PE32 可执行文件，从而通过银行木马 Zeus Panda 感染用户设备。

值得注意的是，该恶意软件会自动检查系统语言，发现设备使用俄语、白俄罗斯语、哈萨克语或乌克兰语的键盘布局，则会暂停攻击。此外，安全专家还发现该恶意软件会造成大量异常调用，从而导致沙箱崩溃、阻止杀毒软件的检测与分析。

7. Blackmoon银行木马

 

早在2016年，Unit 42就跟进并分析了一个专门针对韩国银行的网络恶意活动，并将之命名为“KRBanker”即“Blackmoon”。2016年发现的Blackmoon样本均是以广告恶意软件以及漏洞利用工具包模式来进行传播并感染用户机器。用来安装Blackmoon的漏洞利用工具包叫做“KaiXin”，通过利用Adobe Flash的一些漏洞来传播安装木马。另一个传播途径是通过一个叫“NEWSPOT”的广告恶意软件程序。用户安装了该程序后，通过该程序的update通道，Blackmoon木马会被下载到用户的机器上，随后木马会运行并且开始攻击。

到了2016年底至2017年初，Fidelis Cybersecurity的研究人员发现，网络犯罪分子开始使用一个新的三阶段框架来向韩国的用户传播Blackmoon银行木马。该框架通过按次序部署拥有不同但相关功能的组件来完成完整的Blackmoon木马的传播。

Fidelis把这个框架称为“Blackmoon下载器框架”（见上图），包括初始下载器（Initial Downloader）、字节下载器（Bytecode Downloader）以及KRDownloader。

该框架紧密联系并设计为顺序运行，以促进多个目标，包括逃避以及地理位置定位。多级下载器的设计目的明确：避免检测，因为功能分布在这些单独的（但是相关的）组件之间。利用该框架的攻击活动目前仍然主要瞄准之前Blackmoon涉及的韩国金融银行组织，但安全专家警告称，不排除韩国以外的其他国家也会遭遇此类安全威胁的可能性。

8. 趋势：移动银行恶意软件隐藏在Google Play中

 

今年11月份报道了一个新的Android银行木马家族，它在攻击中使用了四个有效载荷阶段——通常是两个。ESET研究人员在Google Play商店的至少8款应用程序中发现了Android / TrojanDropper.Agent.BKY恶意软件家族，并在随后告知了Google公司。

第一阶段要求恶意应用程序执行第二阶段的有效载荷，其中包含了可以下载第三阶段有效载荷的硬编码URL。用户被要求安装一个伪装成Flash或Android更新的应用程序，一旦授予权限，该应用程序将执行第四阶段有效载荷，即移动银行木马程序。

额外的阶段将帮助攻击者隐藏最终的有效载荷。该恶意应用程序会将用户引导至伪造的登录表单，进而窃取凭据和信用卡信息。ESET发现Android / TrojanDropper.Agent.BKY中的样本主要是银行木马或间谍软件；但是，其选择的下载器可以是任何攻击者想要的东西。

9. Boleto银行木马中的覆盖技术

 

研究人员在对Boleto银行木马进行最新分析后，发现了一个与Trickbot或Zeus银行木马之类的典型银行恶意软件不同的变种，它使用网络钓鱼技术将受害者吸引到伪造的登录页面，以便窃取用户登录数据。这个版本的Boleto使用恶意覆盖技术，这是在受害者登录到他们合法的银行账户后触发的。该木马首先被思科Talos的研究人员所发现，后来被Check Point Research分析破解。

成功感染受害者设备后，该恶意软件会“潜伏”下来等待有人尝试登录网上银行。 然后，它会向攻击者发送文本消息，并在受害者的浏览器上放置覆盖屏幕。与浏览器类型和银行信息相匹配的木马会在屏幕上显示一条长信息。当受害者读取它时，攻击者会在覆盖层下面运行该账户中的交易。

据悉，这种攻击方式仅限于南美地区的受害者，但是如果这种技术被带有不同攻击目标的恶意行为者所采用，就可能会影响到更多的人。

以上就是本次主题的全部内容，不知道我们的榜单中是否遗漏了任何其他的威胁？以及你认为明年的银行木马又会呈现出怎样的发展趋势呢？欢迎在评论中与我们分享您的想法。