6月4日訊 暗網(wǎng)情報公司 Flashpoint 在2018年5月30日發(fā)布報告表示，臭名昭著的銀行木馬 IcedID 和 Trickbot 背后的僵尸網(wǎng)絡(luò)操縱者已經(jīng)聯(lián)合起來，充分利用這兩種木馬騙取受害者現(xiàn)金。

兩大金融網(wǎng)絡(luò)犯罪“巨頭”背后勾結(jié)

非常棘手的問題是，F(xiàn)lashpoint 公司的研究人員發(fā)現(xiàn)感染了 IcedID 的計算機(jī)竟然在下載另一款惡意軟件 Trickbot，這是該公司在對 IcedID 惡意軟件的研究過程中首次發(fā)現(xiàn)了這種合作，IcedID 和 Trickbot 后面的僵尸網(wǎng)絡(luò)操縱者似乎已經(jīng)將銀行受害者們置于雙重威脅之中。

惡意軟件之間通常相互“排斥”

Flashpoint 的研究主管維塔利·克雷茲表示，在意識到上述情況后，便開始思考和著手研究這種情況發(fā)生的原因，IcedID 和 Trickbot 的這種聯(lián)合應(yīng)該是來自惡意軟件的操縱者，而不一定是開發(fā)者。 克雷茲表示，惡意軟件通常會攻擊受害者的數(shù)據(jù)，尤其是在競爭激烈的銀行業(yè)市場，例如 SpyEye 惡意軟件就已經(jīng)被發(fā)現(xiàn)在感染機(jī)器上卸載類似的 Zeus 木馬。

Trickbot 木馬瞄準(zhǔn)多國銀行

Trickbot 木馬 從2016年年中開始，Trickbot 已成為一款負(fù)責(zé)瀏覽器中間者攻擊（man-in-the-browser attack）的木馬病毒。該惡意軟件與 Dyre 銀行木馬具有多種相同屬性，被認(rèn)為是 Dyre 的繼任者，針對金融機(jī)構(gòu)發(fā)動攻擊。Dyre 銀行木馬2015年被俄羅斯警方“消滅”。Flashpoint 公司的研究人員認(rèn)為，TrickBot 背后的網(wǎng)絡(luò)犯罪分子可能十分了解 Dyre 或簡單重用了 Dyre 的代碼。

Trickbot 木馬利用多個模塊（包括泄露的漏洞），針對各種惡意活動的受害者進(jìn)行攻擊，如加密貨幣挖礦和 ATO 操作的受害者們。

2017年7月，TrickBot 銀行木馬背后的黑客正在對美國銀行發(fā)起新一輪攻擊。有僵尸網(wǎng)絡(luò) Necurs 助力，TrickBot 新一輪攻擊活動也針對歐洲、加拿大、新西蘭、新加坡等國的金融機(jī)構(gòu)。TrickBot是首個，也是唯一通過重定向計劃覆蓋24個國家的銀行木馬。

IcedID 木馬創(chuàng)建代理能力突出

IcedID 木馬于2017年被 IBM X-Force 研究團(tuán)隊(duì)的研究人員所發(fā)現(xiàn)。這款木馬被認(rèn)為具備多個突出的技術(shù)和程序，其中最值得注意的是該木馬創(chuàng)建代理的能力，其創(chuàng)建的代理可用于竊取多個網(wǎng)站的憑證，且主要針對金融服務(wù)。

克雷茲表示，IcedID 應(yīng)該是直接通過電子郵件發(fā)送垃圾郵件，然后該惡意軟件就扮演了安裝 TrickBot 的下載器，隨后 TrickBot 又會在受害者的機(jī)器上安裝其他模塊。 這兩種惡意軟件結(jié)合起來，使用一系列方法和工具從受害者處竊取銀行憑證，包括令牌掠奪者、重定向攻擊和 web 注入。

Flashpoint 公司認(rèn)為，這樣的攻擊極其復(fù)雜。在入侵者實(shí)施攻擊的過程中，還有其他的模塊可以讓入侵者深入了解受害者的機(jī)器，并擴(kuò)展攻擊的廣度和范圍，進(jìn)而使他們能夠從已入侵的機(jī)器中獲得額外的潛在利益源。 這種雙刃劍的威脅不僅為入侵帶來了一種新的工具力量，而且對于操控者而言，這種合作吸引了更多可開展高效賬戶接管行為的欺詐操控者。

Trickbot 和 IcedID 協(xié)作方式復(fù)雜

Flashpoint 公司表示，操控負(fù)責(zé)人可能監(jiān)管著一個復(fù)雜的欺詐者網(wǎng)絡(luò)，這些網(wǎng)絡(luò)欺詐者們又連接了被這兩種木馬感染的機(jī)器。這個操控負(fù)責(zé)人被稱作 botmaster，負(fù)責(zé)操作僵尸網(wǎng)絡(luò)的命令和控制，以進(jìn)行遠(yuǎn)程程序執(zhí)行。 同時，克雷茲表示，構(gòu)成這個欺詐者網(wǎng)絡(luò)的不法分子可能只是通過別名相互認(rèn)識，且都是各自領(lǐng)域內(nèi)的行家。

Flashpoint 公司還在報告中表示，根據(jù)對 TrickBot 和 IcedID 僵尸網(wǎng)絡(luò)操作的語言分析和調(diào)查表明，這個設(shè)計僵尸網(wǎng)絡(luò)的互活動屬于一個小組織，該組織負(fù)責(zé)購買銀行惡意軟件、管理感染流、向項(xiàng)目相關(guān)人員（包括流量操控者、網(wǎng)站管理員和 錢騾子）支付款項(xiàng)以及接受洗錢收益等。

事實(shí)上，當(dāng)受害者登錄到被感染系統(tǒng)上相關(guān)的銀行頁面時，botmaster 通過后端的“jabber_on”字段接受 XMPP 或 Jabber 通知。

聯(lián)合的惡意軟件操作具有執(zhí)行賬戶檢查（或憑證填充）的功能。該功能可確定受害者機(jī)器的價值及其訪問權(quán)限，因此，惡意分子可對具有更高價值的目標(biāo)進(jìn)行網(wǎng)絡(luò)滲透，并利用其他被入侵的目標(biāo)進(jìn)行加密貨幣挖礦活動。

隨后，botmaster 可提取受害者的登錄憑證，從而獲取密保問題的答案以及電子郵件地址，然后將這些信息傳遞給真正負(fù)責(zé)操作的個人。同時，錢騾子們利用這些信息，在受害者所在地的同一金融機(jī)構(gòu)開設(shè)銀行賬戶。他們利用該賬戶來接收欺詐賬戶清算所（ACH）和電匯，然后將收益轉(zhuǎn)發(fā)給僵尸網(wǎng)絡(luò)的所有者或中間人。

Flashpoint 公司還指出，基于 TrickBot 和 IcedID 僵尸網(wǎng)絡(luò)操控者機(jī)器共享的后端基礎(chǔ)設(shè)施，這些操控者們很可能將繼續(xù)展開密切的合作，以便將被盜賬戶變現(xiàn)。

目前，這種攻擊的攻擊范圍和已被盜取的金額尚不清楚。克雷茲預(yù)測，未來將有更多的僵尸網(wǎng)絡(luò)操控者們開始類似的合作，金融機(jī)構(gòu)將面臨更多的威脅。