Bolek是一款新的銀行木馬,衍生自泄露的Carberp和Zeus源代碼。惡意軟件編寫者混合了二者的代碼,形成了一款全新的銀行木馬,目前正威脅俄羅斯銀行的客戶安全。
CERT Poland研究人員在5月中旬首次發現了該木馬。他們在調查一次起源于波蘭的釣魚事件時發現Bolek和Carberp的KBot模塊略有相似。美國安全公司PhishMe就Bolek的運行模式進行了一次綜合調查,發現Bolek和Carberp確實存在明顯的相似之處。
Bolek是最近出現在金融惡意軟件市場上的新型威脅。
6月初,Dr.Web和Arbor Networks安全廠商展開了調查,Arbor報告著重研究Bolek的C&C服務器通信,而Dr.Web則主要關注Bolek的運行模式以及同Carberp甚至原始的Zeus銀行木馬的相同點。
Dr.Web報告指出,該木馬完全可以應對當前銀行的生態系統,它通過注入網絡瀏覽器進程從在線銀行應用中獲取登錄憑證,截取用戶界面,捕獲網絡流量,記錄鍵盤輸入,或者創建本地代理服務器來獲取感染機器中的文件。
Bolek可以攻擊Microsoft Internet Explorer、Google Chrome、Opera和Mozilla Firefox,并且自帶嵌入式的密碼抓取工具Mimikatz。
Bolek與Carberp和Zeus的相似點
Bolek仿照Carberp的部分,包括一個自定義的虛擬文件系統,存儲那些用于逃避安全檢測軟件的各種操作文件。對應Zeus,Bolek主要借鑒的是其強大的注入機制,使其可以成功入侵瀏覽器進程,并在用戶訪問在線銀行時控制整個網頁。
另外,該木馬可以感染Windows32位和64位系統,一旦收到遠程服務器指令,會通過RDP(遠程桌面協議)打開設備與攻擊者的反向連接。
Bolek也可以通過感染其他文件進行傳播
Dr.Web的研究人員最感興趣的并不是Bolek的這些致命性的功能。Bolek感染后,其服務器會向木馬發送一個命令,該命令可以激活類蠕蟲自我傳播機制。這使得該木馬可以傳播到相同文件系統或優盤的其他文件中。它可以感染32位或64位可執行文件,這些文件一旦移動到其他設備中便會幫助Bolek傳播。
研究人員稱:
“Trojan.Bolik.1的主要功能是竊取機密信息,Trojan.Bolik.1的功能和架構都十分復雜,因此Windows用戶一旦被感染,將會造成嚴重后果。”
*原文地址:softpedia,vul_wish編譯,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
京公網安備 11010502049343號