Zeus变种Floki Bot在暗网上公开售价1千美金 主要瞄准POS刷卡机数据获取

研究人员发现,利用银行恶意软件Floki Bot攻击美国、加拿大和巴西银行及保险公司的攻击有所上升。Floki Bot基于之前臭名昭著的Zeus银行木马中的代码,写成后几经演变。与前身不同的是,它通过野蛮的鱼叉式网络钓鱼活动和RIG利用程序工具包攻击POS系统。

周三,思科Talos和Flashpoint公司的安全研究人员合作发布了Floki Bot报告。两家公司警告称,这款恶意软件正快速抢占暗网犯罪论坛。

思科Talos安全团队在周三发布的报告中写道:

“目前,Floki Bot在多个暗网市场上买卖活跃。未来还可能继续见到Floki Bot,因为网络犯罪分子还在试图利用Floki Bot攻击各个系统,以实现其经济利益。”

9月发现的最新版本的Floki Bot是基于2011年发布的Zeus 2.0.8.9源代码。从那时起,Floki Bot有过多个变体。不过,这个最新版本由一位狡猾的同名黑客开发、推广和销售。

Flashpoint安全公司的高级情报分析师Vitali Kremez在周三发布的报告中写道

“这款恶意软件之所以引人关注,特别是以多语种(葡萄牙语、英语和俄语)形态存在于一系列顶级地下社区中,这是由多重原因造成的。”

Kremez认为Floki Bot的原始语言是葡萄牙语,并且黑客位于巴西境内。

Floki Bot恶意软件运行机制 通过邮件入侵 注入Windows资源管理器

Kremez表示,典型的感染源于鱼叉式网络钓鱼攻击,受害者被引诱在作为邮件附件的微软Word文档中启用恶意宏。一旦启用,宏就会检索Floki Bot恶意软件。

“一旦被执行,恶意软件试图在explorer.exe(微软Windows文件管理器)中注入恶意代码。”Talos对Floki Bot恶意软件代码的注入顺序做出了这样的技术分析。“如果未能打开explorer.exe,恶意软件则把恶意代码注入至svchost.exe中。”

这里注入的是一个PE文件(bot32)。“我们所分析的样本是硬编码,仅将bot32资源的地址传送给被注入的报文内容。”思科Talos安全团队写道, “在每个阶段,恶意软件均使用散列法,以混淆在动态库解析中使用的模块和函数名称。”

Floki Bot与Zeus的区别在于前者更容易获得 

在Flashpoint研究人员看来,Floki Bot与Zeus的最大区别在于前者分布在大规模垃圾邮件活动中。另外,Zeus不包括POS数据抓取功能,且没有任何杀毒软件混淆技术。11月,研究人员在Floki Bot中发现了各种杀毒软件混淆技术。

“虽然恶意软件起源于著名的Zeus 2.0.8.9源代码,Floki Bot增加了一个方法从内存中抓取跟踪数据,从而扩展恶意软件操作,超越常规的银行木马功能,使之更加灵活有效。”Kremez写道。

Floki Bot和Zeus之间的其他区别包括:Floki Bot可在暗网上获取,售价为1000美元;而Zeus的变体GameOver仅在犯罪团伙内部销售,最火时为15000美元。”Kremez如是说。

“目前10个网络犯罪团伙在使用Floki Bot。”Kremez说, “GameOver Zeus在全盛时期仅有5个团伙使用。”

Floki Bot开发者一直致力于降低使用门槛

2007年,Zeus恶意软件影响了ABC、美国银行和甲骨文等公司近75000个网站,因此臭名远扬。2013年,Zeus代码被用于构建构建Citadel恶意软件,以窃取个人、银行和金融信息。4月,位于丹麦的Heimdal安全公司报告称,Zeus代码被用于创建变体的Atmos恶意软件,继续用于攻击法国境内的银行。Atmos可从目标计算机中抓取数据或隐藏和收集用户凭据。

ZeuS和Floki Bot之间另一个有意思的区别是源代码对于Tor网络的支持。Talos表示,Tor支持代码是非功能性的,并且“似乎还处于开发状态,在样本中未能被激活。”

思科和Flashpoint警告说,Floki Bot开发者一直在努力降低网络攻击者使用工具所需的技术门槛。

Flashpoint写道,“获取高级技能所需的时间在持续缩短。由于犯罪分子之间共享抵御防护的信息,我们也应在安全防护人群内共享信息,以战胜威胁。”

发表评论