记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安卓银行木马Gustuff回归,目标再度锁定澳大利亚

概要今年3月份,网络安全公司Group-IB发现了一款针对安卓用户的新型恶意软件Gustuff,它瞄准了澳大利亚市场上超过100款金融程序与32款加密货币程序,除了窃取使用者的金融凭证之外,还能自动执行交易。Gustuff通过访问受感染手机的联系人列表,并分发带有其APK安装文件链接的短信,传播到其他移动设备,使用辅助功能服务与其他应用程序窗口的元素进行交互,包括加密货币钱包、在线银行应用程序、即时通讯软件等,旨在感染大规模用户设备获取最大利润。在被曝光后,Gustuff的运营方式也在发生改变,除了分发恶意软件的主机改动外,运营人员还禁用了其命令和控制(C2)设备,对恶意软件的管理则通过基于SMS的次级管理通道进行。与
发布时间:2019-10-28 13:10 | 阅读:5088 | 评论:0 | 标签:Web安全 Gustuff 银行木马

Amavaldo:针对拉丁美洲的银行木马

2017年底,ESET安全研究人员注意到,Delphi编写的银行木马常以巴西、墨西哥和智利等拉丁美洲国家为攻击目标。在对恶意软件进行后续跟踪并将其分类后,ESET确定了10多个新的恶意软件家族,还研究了其分布链和内部的关联性。在这篇文章的开头,我们将讨论此类银行木马的起源,然后介绍一种新识别的恶意软件家族——Amavaldo。拉丁美洲银行木马的特殊之处在哪?在进一步讨论之前,让我们先来划分这种银行木马的特征:· 用Delphi编程语言编写· 包含后门功能· 较长的传播链· 可以将其功能划分为多个组件· 通常会滥用合法的工具和软件· 针对西班牙语或葡萄牙语国家在
发布时间:2019-08-14 13:05 | 阅读:29701 | 评论:0 | 标签:Web安全 Amavaldo 银行木马

攻击巴西和台湾地区的无文件银行木马分析

研究人员近日分析了一个含有多个.bat附件的无文件恶意软件,可以下载含有银行木马payload的powershell,并安装黑客工具和信息窃取器。研究人员分析发现,恶意软件会窃取机器信息和用户凭证、扫描与特定巴西银行相关的字符串和其他与保存的outlook联系人相关的网络链接、安装黑客工具RADMIN。统计数据表明受感染最严重的区域有巴西和中国台湾。除了访问用户银行账户外,从用户访问的网站中窃取的PII和记录的机器凭证会被进一步滥用甚至出售。考虑到金融服务和客户的基础,研究人员认为攻击者可能在不断发展更大的僵尸网络或大规模的邮件目标攻击。行为分析图1. 无文件银行木马感染链分析 图2. 含有下载的字符串脚本的
发布时间:2019-03-10 12:20 | 阅读:43323 | 评论:0 | 标签:Web安全 银行木马

伪造浏览器更新推送的勒索软件和银行木马攻击活动分析

概述最近,我们发现了一个恶意广告软件注入脚本,该脚本可以将伪造的浏览器更新提示推送给网站访问者。下面是典型的伪造更新请求的示例,黑客在网站上伪造了Firefox的更新中心消息并显示:用户将会看到一个消息框,指出这是用户浏览器所对应的“更新中心”。我使用的是Firefox,但同时还有Chrome、Internet Explorer和Edge浏览器对应的提示消息框。在该消息中显示:“由于浏览器使用了过期版本,导致发生验证错误。需要用户尽快更新浏览器”。为了加强“严重错误”的这一误导,恶意软件还会在后台显示出一些乱码的文本内容。恶意软件提示下载并安装更新,以避免“丢失个人数据和存储的数据,发生机密信息泄露和浏览器错误”。该下
发布时间:2019-03-06 12:20 | 阅读:72546 | 评论:0 | 标签:勒索软件 银行木马

见招拆招分析银行木马:揭开恶意LNK真面目+逐步拆解混淆后Dropper

一、概述在本文中,主要针对Windows的某银行恶意软件进行分析,我们集中分析该恶意软件的前两个阶段。第一阶段是Windows快捷方式文件(LNK文件),在运行快捷方式之后,将会投放PowerShell脚本(使用了ISESteriods进行模糊处理)并执行。我们对这一PowerShell文件进行了详细分析。大家可以在这里下载本文涉及的样本文件,其中也包括所有投放的文件。二、第一阶段:快捷方式在这一木马中,快捷方式使用了一个通用的图标,其目标指向Windows命令行cmd.exe。下面是该快捷方式指向的完整目标,请大家注意在该文本末尾存在的空格。C:Windowssystem32cmd.exe /V 
发布时间:2019-02-24 12:20 | 阅读:56003 | 评论:0 | 标签:技术 银行木马

新一波Ursnif来袭

Ursnif是一个非常活跃的银行木马,也叫做GOZI,事实上是2014年泄露的Gozi-ISFB银行木马的一个副本。在该变种中,Ursnif使用含有VBA宏代码的武器化的office文档,其中宏代码作为释放器和多阶段混淆Powershell脚本来隐藏真实的payload。除此之外,Ursnif还使用隐写术来隐藏恶意代码并尝试绕过AV的检测。该变种使用QueueUserAPC进程注入技术来注入explorer.exe,因为在目标进程中没有创建远程线程。技术分析初始感染向量是一个excel文件,要求用户启用宏执行来合理查看伪造文档的内容,伪造的一般是发票、订单等等。图1. Ursnif宏文档研究人员对宏代码进行分析,发现恶
发布时间:2019-02-12 12:20 | 阅读:74122 | 评论:0 | 标签:Web安全 银行木马

TrickBot银行木马获取Screenlocker组件

TrickBot木马是目前最为活跃的银行类恶意软件家族,几乎每隔一段时间都会出现新的变种,非常与时俱进,从最初单纯的针对银行的攻击,到去年的窃取加密货币。总之一句话,只要能获利的地方,都有它的身影。最新版本的TrickBot银行木马为了攫取更多利益,通过加入“锁屏(screenlocker)”组件又新增了一个勒索功能。也就是说,TrickBot的攻击目标已不再是针对网络电子银行用户,只要是感染了这个最新版本的TrickBot,那用户的屏幕就会被锁定。这就和勒索软件一样了,如果要想继续使用该设备,就得向攻击者缴纳赎金。锁屏功能的实现过程不过根据研究人员的分析,目前TrickBot新加入的这个“锁屏(screenlocke
发布时间:2018-04-02 12:20 | 阅读:97282 | 评论:0 | 标签:业务安全 银行木马

Silence 分析报告:一种新型的专门攻击金融机构的木马程序

背景介绍 2017年9月,卡巴斯基实验室发现了一波专门针对金融机构的网络攻击,受害者大多是俄罗斯银行,在马来西亚和亚美尼亚地区的某些金融机构也检测到了受感染的迹象。 攻击者为实现盈利目标,使用了一个已知的但仍然非常有效的攻击手段:渗入目标银行的内部网络并长期潜伏,使用录像记录银行员工在电脑上的日常活动,了解目标银行的工作原理、使用的软件等情况,然后利用这些情报在适当的时机尽可能多的窃取更多的资金。 臭名昭著的黑客组织Carbanak也使用过这种手段,事实上,全球范围内不乏类似的案例。攻击者惯用的感染介质是带有恶意附件的鱼叉式钓鱼电子邮件。在这次攻击活动中,比较有趣的一点是,网络犯罪分子入侵了银行的基础设施用于发送鱼叉式网络钓鱼电子邮件,由于这些邮件来源于银行雇员们真实的电子邮件地址,从而有效降低了潜在受害者的
发布时间:2017-11-02 23:20 | 阅读:119321 | 评论:0 | 标签:安全报告 Carbanak 网络犯罪 银行木马 黑客组织

盗取5亿美元的银行木马Citadel作者认罪

Citadel感染了1100万台PC,帮助网络犯罪者攫取5亿美元。 编写了银行账户劫掠木马Citadel的俄罗斯程序员日前认罪。马克·瓦尔塔尼扬,网名“Kolypto”,去年在挪威被捕,并在12月被引渡到了美国。这位29岁的小伙子,被控计算机欺诈罪。3月20号,亚特兰大地区法庭上,他承认有罪,将面临10年监禁和 $250,000的罚款——已经因其认罪而从最高25年监禁予以了削减。 “我们必须继续给那些觉得自己受地理疆域保护,可以不受惩罚地侵害美国人民和机构的罪犯,处以重罚。” ——大卫·乐瓦力,FBI亚特兰大办事处负责此事的特别探员 这进一步显示出FBI长期致力于在全球范围内发现和追捕瓦力罪犯,是对通过恶意软件侵害美国金融机构和公民的有力威慑。 Citadel在2011年浮出水面,感染 Windows PC,
发布时间:2017-03-27 18:50 | 阅读:89233 | 评论:0 | 标签:牛闻牛评 Citadel 恶意软件即服务 网络犯罪 银行木马

两大顶尖漏洞利用工具包消失 老三“中微子”上位

漏洞利用工具包的圈子动荡依旧,这一次,两大最流行的工具包消失了。漏洞利用工具包是网络犯罪分子最爱使用的一体化工具,而且与时俱进,在不断升级更新的同时,偶尔还会利用零日漏洞。受害者则被装上银行木马或是勒索软件。威胁情报显示,世界上威力最大也最流行的漏洞利用工具包是“垂钓者”(Angler),但在6月初,不知何种原因,垂钓者忽然停止更新,销声匿迹。而第二大流行工具包“核武器”(Nuclear)在垂钓者消失前一周也从网络上下线。老大老二的退出,让老三成功上位。现在“中微子”(Neutrino)一跃成为漏洞利用工具包的老大,由于竞争对手的死亡,其售价竟然翻了一番。Check Point 把核武器的死亡归功因于自己,因为之前他们公开披露了核武器基础设施的内部构成。包括使用的漏洞、利用程序交付的方法和收入模式等。他们还发现
发布时间:2016-06-30 15:50 | 阅读:282042 | 评论:0 | 标签:黑极空间 Dmitry Fedotov 中微子 勒索软件 垂钓者 威胁情报 银行木马 漏洞

世界最成功的僵尸网络使用Fast Flux技术躲避检

2014年以来,安全企业RiskAnalytics一直在互联网上跟踪一个特别具有传染性的僵尸网络。经过了两年的研究,RiskAnalytics发布了一份报告,解释了这个世界上最成功的僵尸网络之一为何仍在扩散。在报告里,RiskAnalytics详细阐述了Zbot僵尸网络如何使用一项被称为“Fast Flux”的技术,绕过检测并保持存活。僵尸网络是一系列被感染系统(有时被称为僵尸)的集合,攻击者可以使用命令与控制系统来控制它,攻击互联网上的其他用户和站点。Fast Flux技术利用DNS隐藏攻击的来源,至少自2007年开始就已有人使用它。DNS本来的工作方式是将域名转发给DNS解析器,获取对应的IP地址。使用Fast Flux,攻击者可以将多个IP地址的集合链接到某个特定的域名,并将新的地址从DNS记录中换入换出
发布时间:2016-06-21 01:50 | 阅读:93024 | 评论:0 | 标签:黑极空间 Fast Flux RiskAnalytics Zbot 僵尸网络 银行木马

Bolek银行木马:金融恶意软件市场的新威胁

Bolek是一款新的银行木马,衍生自泄露的Carberp和Zeus源代码。恶意软件编写者混合了二者的代码,形成了一款全新的银行木马,目前正威胁俄罗斯银行的客户安全。CERT Poland研究人员在5月中旬首次发现了该木马。他们在调查一次起源于波兰的钓鱼事件时发现Bolek和Carberp的KBot模块略有相似。美国安全公司PhishMe就Bolek的运行模式进行了一次综合调查,发现Bolek和Carberp确实存在明显的相似之处。Bolek是最近出现在金融恶意软件市场上的新型威胁。6月初,Dr.Web和Arbor Networks安全厂商展开了调查,Arbor报告着重研究Bolek的C&C服务器通信,而Dr.Web则主要关注Bolek的运行模式以及同Carberp甚至原始的Zeus
发布时间:2016-06-15 16:00 | 阅读:89578 | 评论:0 | 标签:系统安全 Bolek Carberp zeus 银行木马

使用多种逃避检测技术的银行恶意软件:Neverquest

Arbor安全工程与响应小组(ASERT)最近发布了一篇报告,揭示了复杂的银行恶意软件Neverquest或称Vawtrak进行逃避检测的技术细节,其中包括加密、匿名路由,甚至图片隐写技术。ASERT的威胁情报及响应部门的负责人表示,他们关注Neverquest的最初原因是它对金融行业的冲击,检测结果表明,该恶意软件的结构极端复杂,并采取了很多防止研究人员进行检测分析的手段。该软件冲击了25个国家的超过100家大型金融机构。它通过第三方恶意软件安装器将自己安装在用户的终端机上,然后使用多种方式盗取银行账户信息,包括开户人的社交网络和Email信息。Neverquest的主要目的应该是盗取银行客户的证书信息。一旦黑客获得了这些证书信息,就可以通过用户的PC端实际登录到银行页面,而并不是通过某个可疑地址进行登录,因
发布时间:2015-04-20 17:25 | 阅读:92237 | 评论:0 | 标签:安全警报 牛工具 neverquest 逃避检测 银行木马

功能强大的Vawtrak银行木马在多国肆虐

安全研究人员发现了一个传播Vawtrak银行木马的恶意活动。它们的目标是加拿大的多个银行客户。 这个恶意软件也被称为Neverquest及Snifula。它是一款先进的恶意软件,通过远程桌面控制被攻陷计算机隐藏痕迹,随后窃取金融信息、进行交易。 恶意软件作者依赖实时网络注入技巧为受害者展现欺骗性屏幕,要求获得访问在线银行账户的必要信息。 这种方法还可捕获通过单独token获取且基于离线卡验证或PIN号码的双因素认证代码。 命令及控制服务器注册于今年2月份 Heimdal安全公司的研究员分析指出,网络犯罪分子传播Vawtrak的方法包括路过式下载攻击、社交媒体网站上的钓鱼活动、以及垃圾邮件方式。 研究人员表示,这个变种的攻击目标是位于加拿大的愈15家金融机构,并且连接了位于世界不同地区的6个命令及控制服务器。在
发布时间:2015-03-28 22:25 | 阅读:76414 | 评论:0 | 标签:业界 AVG Vawtrak 银行木马

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云