Zscaler的安全研究員最近揭露了一種新的Spy Banker Trojan惡意軟件活動(dòng),其正在利用谷歌云服務(wù)器作為其托管平臺(tái)。
在上周發(fā)布的報(bào)告中,安全廠商ThreatLabZ研究部門展示了Spy Banker Trojan的作者如何使用谷歌的云來托管這款惡意軟件的最初下載器。該報(bào)告也聲明,此次惡意軟件的活動(dòng)主要目標(biāo)是在巴西講葡萄牙語的用戶,他們正在使用社交工程攻擊Facebook、Twitter以及其他的社交網(wǎng)站,誘惑那些沒有懷疑的用戶點(diǎn)擊Spy Banker Trojan下載器的惡意鏈接。一旦下載器被安裝,Spy Banker Trojan Telax惡意軟件就會(huì)竊取被感染用戶的網(wǎng)銀憑證。
這個(gè)URL通常使用bit.ly服務(wù)縮短,托管在合法的谷歌云服務(wù)器上,而不是托管在一個(gè)被安全廠商標(biāo)記的可疑的服務(wù)上。此外,Spy Banker Trojan Telax在2009年首次被發(fā)現(xiàn),可以檢測(cè)用戶系統(tǒng)的殺毒軟件,并且將信息發(fā)送給命令與控制服務(wù)器,也會(huì)呈現(xiàn)出偽造的雙因子認(rèn)證,可能蒙騙用戶進(jìn)入他們的二級(jí)認(rèn)證代碼。
Zscaler ThreatLabZ研究員指出五分之四的惡意軟件活動(dòng)域名托管已經(jīng)拿掉他們的GoDaddy注冊(cè)。報(bào)告也聲明還有一些域名引導(dǎo)研究員到一個(gè)二級(jí)的類似的域名,仍舊積極地重定向用戶到惡意軟件Spy Banker Trojan Telax在谷歌云服務(wù)器上的有效托管上。
ThreatLabZ研究員指出谷歌已經(jīng)清理了托管兩個(gè)活動(dòng)域名的云服務(wù)器,阻止感染周期發(fā)生。但是研究員也聲明Spy Banker Trojan背后的人并沒有放棄,而是繼續(xù)瞄準(zhǔn)谷歌的云服務(wù)作為平臺(tái),進(jìn)行財(cái)務(wù)惡意軟件注入。
報(bào)告寫道“惡意軟件作者積極地推出[Spy Banker Trojan] Telax (最新版本4.7)的新版本,并且濫用谷歌云服務(wù)器來托管有效負(fù)荷從而進(jìn)行感染,此次活動(dòng)并沒有能利用漏洞,而且攻擊者單獨(dú)依賴社交工程感染終端用戶。”
谷歌的云服務(wù)器以前就被攻擊者濫用過,今年夏天,安全公司Elastica揭露了托管在谷歌Drive上的網(wǎng)絡(luò)釣魚,在前年就被用于類似的惡意軟件攻擊活動(dòng)。
Spy Banker Trojan活動(dòng)也是上個(gè)月安全研究員揭露惡意軟件濫用公有云服務(wù)之后的第二次活動(dòng)。本月初,來自安全廠商FireEye的研究員報(bào)告了一起復(fù)雜的網(wǎng)絡(luò)釣魚活動(dòng),使用云存儲(chǔ)服務(wù)Dropbox作為命令和控制基礎(chǔ)架構(gòu)。
京公網(wǎng)安備 11010502049343號(hào)