概述
根據國外媒體的最新報道,安全研究專家發現了一款非常複雜的惡意軟體。這款惡意軟體名為“qadars”,它可以欺騙使用者并擷取到目标系統的管理者權限。當然了,它擷取管理者權限的目的就是為了竊取使用者的銀行資料。
下面這張圖檔顯示的是qadars在欺騙使用者時所使用的虛假安全更新提示:
據了解,這款銀行木馬到2016年為止已經活動了三年了。安全研究專家認為,這款如此複雜的銀行木馬肯定是由某個有組織的且經驗豐富的俄羅斯網絡幫派開發出來的,而現在該木馬也開始将攻擊的“矛頭”指向了英國的銀行。
qadars木馬
從2013年開始,安全研究人員就已經檢測到了qadars木馬的活動迹象。而三年的時間下來,這款木馬也在不斷地更新版本。需要注意的是,qadars可以針對不同國家和地區的銀行進行攻擊。早在2013年至2014年,qadars就曾攻擊過法國和荷蘭的銀行。而在2015年至2016年之間,qadars還對澳洲、加拿大、美國、以及荷蘭等國的多家銀行發動過惡意攻擊。
就在上個月,ibm公司x-force研究團隊的安全研究人員在裡約奧運會開幕之前發現了一款針對巴西銀行的惡意軟體。現在,他們又檢測到了一個新版本的qadars木馬,而這也就意味着新型的qadars木馬将會發動新一輪的攻擊。
銀行和金融部門是qadars的主要攻擊目标
這一次,qadars針對的不僅是十八家英國銀行,而且它還會對德國、波蘭以及荷蘭的多家金融機構進行攻擊。為什麼受傷的總有荷蘭?當然了,英國銀行最近也不太平,因為英國的多家銀行近期還遭到了另一款惡意軟體(dridex)的攻擊。
安全研究專家在受感染的主機中發現了漏洞利用工具,是以他們推測qadars在感染終端裝置時主要使用的是漏洞利用工具,而且qadars攻擊者還會購買一些域名來傳播惡意軟體。除此之外,qadars還可以使用帶有下載下傳功能的惡意軟體來感染目标主機,并利用這些“殭屍電腦”來建構僵屍網絡。
qadars攻擊者會使用社會工程學技術來幫助他們擷取到目标系統的控制權,然後進行大規模的資料竊取活動。比如說,目前很多網銀服務都引入了雙因素身份驗證系統,而qadars将會從這種認證系統中竊取敏感資訊。除此之外,該木馬還可以監視目标裝置上的所有使用者操作,并劫持目标使用者智能手機中的文字消息。
你以為qadars隻會竊取銀行資料嗎?那你就大錯特錯了。qadars還會對facebook使用者、網絡體育博彩使用者以及電子商務網站使用者進行攻擊。
qadars背後的攻擊者
這款惡意軟體的最新版本為qadars v3,該版本最早出現于今年的春季,并在今年的五月份活動愈趨頻繁。實際上,就在幾個月之後,這款惡意軟體的作者就修複了qadars中的多個漏洞,并對其代碼進行了優化與提升。根據ibm x-force研究團隊透露的資訊,這些代碼中的注釋全部是用俄語寫的,而通過對代碼進行進一步分析後發現,這些代碼全部都來自于同一個源位址。
值得注意的是,這款惡意軟體一直都在更新,而且它還使用了非常先進的攻擊技術來從目标使用者的裝置中竊取盡可能多的資料。是以安全專家普遍認為,qadars背後的攻擊者肯定是一個高度專業化的黑客組織。
qadars分析
在qadars所使用的技術中,有一個專門用于實作提權的技術。實際上這隻能算是一種小把戲,因為qadars會使用社會工程學技巧來欺騙使用者,讓使用者相信系統已經準備好了windows安全更新,他們會認為自己随時可以安裝這些更新更新檔。但是,當使用者同意安裝并點選了虛假更新提示中的選項後,後果可就嚴重了。他們不但沒有提升自己的安全性,而且還使自己陷入了危險之中:當使用者點選了僞造的更新視窗之後,qadars也就成功地擷取到了目标系統的管理者權限,然後它便可以竊取主機中存儲的任何資料了。
qadars木馬可以駐留在浏覽器中,并時刻監視并控制使用者的活動。除此之外,它還可以從遠端伺服器實時擷取控制指令以進行web注入。攻擊者不僅可以通過劫持短信app來僞造文字短信,而且還可以利用網銀自動轉賬系統(ats)中的漏洞來實作交易操作。
自動轉賬系統的控制台中包含有交易自動化處理腳本、預程式設計的交易控制流程、以及各種交易參數。而該木馬可以利用這些功能來實作非法線上交易操作。
為了成功竊取到使用者的雙因素身份驗證碼,攻擊者還可以用perkele惡意軟體來感染目标使用者的智能手機。當qadars從移動裝置中擷取到驗證碼之後,它便可以直接将驗證碼添加到ats交易業務流程中。
qadars的影響
單從qadars的感染使用者數量來看的話,qadars所帶來的麻煩遠遠不及另外兩款木馬病毒(goznym和dridex),而且dridex可以算得上是對金融領域産生威脅最大的木馬病毒了。而且這款惡意軟體非常高效,它每次隻會針對特定地區内的金融部門進行攻擊,而上個月dridex攻擊的就是英國的銀行部門。dridex在攻擊過程中主要使用的是網絡釣魚技術,dridex攻擊者先要向目标使用者發送一封帶有惡意附件的釣魚郵件,當使用者運作了附件中的應用程式之後,嵌入其中的惡意代碼将會下載下傳并運作dridex。
但是安全研究專家認為,qadars背後的攻擊者不太有可能會發動大規模的網絡攻擊,因為他們肯定不想自己的攻擊活動這麼快就被發現,而大規模攻擊往往被發現的可能性就會更大。如果qadars引起了安全專家們的注意,那麼不僅将會影響qadars的資訊竊取活動,而且相當于擋住了攻擊者的财路。
總結
銀行作為一個存儲了大量金錢和金融資料的大型倉庫,遭受黑客攻擊當然是在所難免的了。對于黑客而言,銀行也絕對是一個寶藏,是以網絡犯罪組織肯定會不斷地對銀行和金融部門進行複雜的網絡攻擊。銀行方面不僅要不斷提升自己的安全防禦能力,而且還要保護終端使用者在使用網銀系統時的安全,因為一個小小的安全問題都将有可能帶來嚴重的後果。
還有一點是非常值得注意的,這款惡意軟體非常的複雜,而這也就意味着該木馬所包含的工作量極大。開發qadars的攻擊者之是以要投入如此大的精力,很可能是由于目前人們對于惡意軟體行業的關注度正在上升。
本文轉自d1net(轉載)