微軟安全研究人員發(fā)現(xiàn)，在德國泛濫的垃圾郵件風(fēng)潮中正在傳播一個(gè)強(qiáng)大的銀行木馬新變種，該木馬意在盜取德國普通網(wǎng)民的網(wǎng)銀證書。

　　Emotet木馬介紹

Emotet木馬在去年6月份被安全廠商趨勢(shì)科技首次曝光。據(jù)趨勢(shì)科技所說，Emotet最突出的特點(diǎn)是其網(wǎng)絡(luò)嗅探能力，通過hook 8個(gè)網(wǎng)絡(luò)API它能夠捕獲通過https協(xié)議傳輸?shù)臄?shù)據(jù)。

Emotet主要通過垃圾郵件進(jìn)行傳播，郵件中含有一個(gè)掛馬網(wǎng)站的鏈接，或者包含一個(gè)偽裝成PDF文檔圖標(biāo)的木馬。

自從去年11月份以來微軟一直在監(jiān)測(cè)一種Emotet銀行木馬的新變種Trojan:Win32 / Emotet.C。該新變種木馬靠隱藏在垃圾郵件中傳播，并在去年11月份傳播量達(dá)到了頂峰。

變種木馬出新招

來自微軟惡意軟件防護(hù)中心的HeungSoo Kang發(fā)現(xiàn)了一個(gè)垃圾郵件樣本，該郵件使用德語所寫，里面包含了一個(gè)有害網(wǎng)站的鏈接，這表明該惡意傳播活動(dòng)的目標(biāo)主要是德語使用者和銀行網(wǎng)站。

這種垃圾郵件一般偽裝成某種欺詐性索賠，例如電話賬單、銀行發(fā)票或來自貝寶(PayPal)的信息，以此來吸引潛在受害者的注意。

一旦系統(tǒng)感染該木馬，它將下載一個(gè)包含一系列目標(biāo)銀行和服務(wù)的配置文件和一個(gè)用于攔截和阻塞網(wǎng)絡(luò)流量的代碼文件。

最令人擔(dān)憂的是該木馬的網(wǎng)絡(luò)嗅探功能，因?yàn)槔迷摴δ芫W(wǎng)絡(luò)罪犯可以對(duì)網(wǎng)絡(luò)上傳播的信息無所不知。簡而言之，即黑客可以在用戶毫無察覺的情況下將他們的網(wǎng)銀數(shù)據(jù)偷走。

該木馬能夠通過包括微軟的Outlook，Mozilla的Thunderbird和即時(shí)消息程序如Yahoo Messenger和Windows Live Messenger等各種各樣的電子郵件程序拿到網(wǎng)銀證書。

“所有被盜的信息會(huì)自動(dòng)發(fā)回給木馬的指令控制服務(wù)器，此外其他組件可以通過該服務(wù)器發(fā)送垃圾郵件。我們檢測(cè)到的Emotet垃圾郵件組件為Spammer:Win32 / Cetsiol.A。” Kang寫道。

防御措施

因?yàn)榘蠩motet木馬的垃圾郵件由合法賬號(hào)發(fā)出，所以它們很難被郵件服務(wù)器濾除。因此，如“回調(diào)確認(rèn)”這種傳統(tǒng)的反垃圾技術(shù)面對(duì)該木馬將無能為力。

然而，有一種技術(shù)可以對(duì)抗這些垃圾郵件，那就是可以通過檢測(cè)垃圾郵件的來源賬號(hào)是否真實(shí)存在，以此來拒絕接收那些來自虛假賬號(hào)的垃圾郵件。

不過，還是建議用戶不要打開或點(diǎn)擊來自可疑郵件的附件和鏈接，如果郵件來自你的銀行機(jī)構(gòu)或者對(duì)你比較重要的地址，那么最好多次確認(rèn)之后再打開。