概述

根據(jù)國外媒體的最新報(bào)道，安全研究專家發(fā)現(xiàn)了一款非常復(fù)雜的惡意軟件。這款惡意軟件名為“Qadars”，它可以欺騙用戶并獲取到目標(biāo)系統(tǒng)的管理員權(quán)限。當(dāng)然了，它獲取管理員權(quán)限的目的就是為了竊取用戶的銀行數(shù)據(jù)。

下面這張圖片顯示的是Qadars在欺騙用戶時(shí)所使用的虛假安全更新提示：

據(jù)了解，這款銀行木馬到2016年為止已經(jīng)活動(dòng)了三年了。安全研究專家認(rèn)為，這款如此復(fù)雜的銀行木馬肯定是由某個(gè)有組織的且經(jīng)驗(yàn)豐富的俄羅斯網(wǎng)絡(luò)犯罪團(tuán)伙開發(fā)出來的，而現(xiàn)在該木馬也開始將攻擊的“矛頭”指向了英國的銀行。

Qadars木馬

從2013年開始，安全研究人員就已經(jīng)檢測到了Qadars木馬的活動(dòng)跡象。而三年的時(shí)間下來，這款木馬也在不斷地更新版本。需要注意的是，Qadars可以針對不同國家和地區(qū)的銀行進(jìn)行攻擊。早在2013年至2014年，Qadars就曾攻擊過法國和荷蘭的銀行。而在2015年至2016年之間，Qadars還對澳大利亞、加拿大、美國、以及荷蘭等國的多家銀行發(fā)動(dòng)過惡意攻擊。

就在上個(gè)月，IBM公司X-Force研究團(tuán)隊(duì)的安全研究人員在里約奧運(yùn)會(huì)開幕之前發(fā)現(xiàn)了一款針對巴西銀行的惡意軟件。現(xiàn)在，他們又檢測到了一個(gè)新版本的Qadars木馬，而這也就意味著新型的Qadars木馬將會(huì)發(fā)動(dòng)新一輪的攻擊。

銀行和金融部門是Qadars的主要攻擊目標(biāo)

這一次，Qadars針對的不僅是十八家英國銀行，而且它還會(huì)對德國、波蘭以及荷蘭的多家金融機(jī)構(gòu)進(jìn)行攻擊。為什么受傷的總有荷蘭？當(dāng)然了，英國銀行最近也不太平，因?yàn)橛亩嗉毅y行近期還遭到了另一款惡意軟件（Dridex）的攻擊。

安全研究專家在受感染的主機(jī)中發(fā)現(xiàn)了漏洞利用工具，所以他們推測Qadars在感染終端設(shè)備時(shí)主要使用的是漏洞利用工具，而且Qadars攻擊者還會(huì)購買一些域名來傳播惡意軟件。除此之外，Qadars還可以使用帶有下載功能的惡意軟件來感染目標(biāo)主機(jī)，并利用這些“肉雞”來構(gòu)建僵尸網(wǎng)絡(luò)。

Qadars攻擊者會(huì)使用社會(huì)工程學(xué)技術(shù)來幫助他們獲取到目標(biāo)系統(tǒng)的控制權(quán)，然后進(jìn)行大規(guī)模的數(shù)據(jù)竊取活動(dòng)。比如說，目前很多網(wǎng)銀服務(wù)都引入了雙因素身份驗(yàn)證系統(tǒng)，而Qadars將會(huì)從這種認(rèn)證系統(tǒng)中竊取敏感信息。除此之外，該木馬還可以監(jiān)視目標(biāo)設(shè)備上的所有用戶操作，并劫持目標(biāo)用戶智能手機(jī)中的文字消息。

你以為Qadars只會(huì)竊取銀行數(shù)據(jù)嗎？那你就大錯(cuò)特錯(cuò)了。Qadars還會(huì)對Facebook用戶、網(wǎng)絡(luò)體育博彩用戶以及電子商務(wù)網(wǎng)站用戶進(jìn)行攻擊。

Qadars背后的攻擊者

這款惡意軟件的最新版本為Qadars V3，該版本最早出現(xiàn)于今年的春季，并在今年的五月份活動(dòng)愈趨頻繁。實(shí)際上，就在幾個(gè)月之后，這款惡意軟件的作者就修復(fù)了Qadars中的多個(gè)漏洞，并對其代碼進(jìn)行了優(yōu)化與提升。根據(jù)IBM X-Force研究團(tuán)隊(duì)透露的信息，這些代碼中的注釋全部是用俄語寫的，而通過對代碼進(jìn)行進(jìn)一步分析后發(fā)現(xiàn)，這些代碼全部都來自于同一個(gè)源地址。

值得注意的是，這款惡意軟件一直都在更新，而且它還使用了非常先進(jìn)的攻擊技術(shù)來從目標(biāo)用戶的設(shè)備中竊取盡可能多的數(shù)據(jù)。所以安全專家普遍認(rèn)為，Qadars背后的攻擊者肯定是一個(gè)高度專業(yè)化的黑客組織。

Qadars分析

在Qadars所使用的技術(shù)中，有一個(gè)專門用于實(shí)現(xiàn)提權(quán)的技術(shù)。實(shí)際上這只能算是一種小把戲，因?yàn)镼adars會(huì)使用社會(huì)工程學(xué)技巧來欺騙用戶，讓用戶相信系統(tǒng)已經(jīng)準(zhǔn)備好了Windows安全更新，他們會(huì)認(rèn)為自己隨時(shí)可以安裝這些更新補(bǔ)丁。但是，當(dāng)用戶同意安裝并點(diǎn)擊了虛假更新提示中的選項(xiàng)后，后果可就嚴(yán)重了。他們不但沒有提升自己的安全性，而且還使自己陷入了危險(xiǎn)之中：當(dāng)用戶點(diǎn)擊了偽造的更新窗口之后，Qadars也就成功地獲取到了目標(biāo)系統(tǒng)的管理員權(quán)限，然后它便可以竊取主機(jī)中存儲(chǔ)的任何數(shù)據(jù)了。

Qadars木馬可以駐留在瀏覽器中，并時(shí)刻監(jiān)視并控制用戶的活動(dòng)。除此之外，它還可以從遠(yuǎn)程服務(wù)器實(shí)時(shí)獲取控制命令以進(jìn)行web注入。攻擊者不僅可以通過劫持短信app來偽造文字短信，而且還可以利用網(wǎng)銀自動(dòng)轉(zhuǎn)賬系統(tǒng)（ATS）中的漏洞來實(shí)現(xiàn)交易操作。

自動(dòng)轉(zhuǎn)賬系統(tǒng)的控制面板中包含有交易自動(dòng)化處理腳本、預(yù)編程的交易控制流程、以及各種交易參數(shù)。而該木馬可以利用這些功能來實(shí)現(xiàn)非法在線交易操作。

為了成功竊取到用戶的雙因素身份驗(yàn)證碼，攻擊者還可以用Perkele惡意軟件來感染目標(biāo)用戶的智能手機(jī)。當(dāng)Qadars從移動(dòng)設(shè)備中獲取到驗(yàn)證碼之后，它便可以直接將驗(yàn)證碼添加到ATS交易業(yè)務(wù)流程中。

　　Qadars的影響

單從Qadars的感染用戶數(shù)量來看的話，Qadars所帶來的麻煩遠(yuǎn)遠(yuǎn)不及另外兩款木馬病毒（GozNym和Dridex），而且Dridex可以算得上是對金融領(lǐng)域產(chǎn)生威脅最大的木馬病毒了。而且這款惡意軟件非常高效，它每次只會(huì)針對特定地區(qū)內(nèi)的金融部門進(jìn)行攻擊，而上個(gè)月Dridex攻擊的就是英國的銀行部門。Dridex在攻擊過程中主要使用的是網(wǎng)絡(luò)釣魚技術(shù)，Dridex攻擊者先要向目標(biāo)用戶發(fā)送一封帶有惡意附件的釣魚郵件，當(dāng)用戶運(yùn)行了附件中的應(yīng)用程序之后，嵌入其中的惡意代碼將會(huì)下載并運(yùn)行Dridex。

但是安全研究專家認(rèn)為，Qadars背后的攻擊者不太有可能會(huì)發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊，因?yàn)樗麄兛隙ú幌胱约旱墓艋顒?dòng)這么快就被發(fā)現(xiàn)，而大規(guī)模攻擊往往被發(fā)現(xiàn)的可能性就會(huì)更大。如果Qadars引起了安全專家們的注意，那么不僅將會(huì)影響Qadars的信息竊取活動(dòng)，而且相當(dāng)于擋住了攻擊者的財(cái)路。

總結(jié)

銀行作為一個(gè)存儲(chǔ)了大量金錢和金融數(shù)據(jù)的大型倉庫，遭受黑客攻擊當(dāng)然是在所難免的了。對于黑客而言，銀行也絕對是一個(gè)寶藏，所以網(wǎng)絡(luò)犯罪組織肯定會(huì)不斷地對銀行和金融部門進(jìn)行復(fù)雜的網(wǎng)絡(luò)攻擊。銀行方面不僅要不斷提升自己的安全防御能力，而且還要保護(hù)終端用戶在使用網(wǎng)銀系統(tǒng)時(shí)的安全，因?yàn)橐粋€(gè)小小的安全問題都將有可能帶來嚴(yán)重的后果。

還有一點(diǎn)是非常值得注意的，這款惡意軟件非常的復(fù)雜，而這也就意味著該木馬所包含的工作量極大。開發(fā)Qadars的攻擊者之所以要投入如此大的精力，很可能是由于目前人們對于惡意軟件行業(yè)的關(guān)注度正在上升。