來自某地下技術(shù)論壇的犯罪分子們已經(jīng)開發(fā)出一種新技術(shù)，能夠避開Trusteer反木馬機(jī)制的層層堵截，從而令全球各大金融機(jī)構(gòu)——包括匯豐銀行與Paypal——的儲(chǔ)戶保護(hù)方案形同虛設(shè)。

Trusteer方面對(duì)這一安全漏洞進(jìn)行冷處理，并輕描淡寫地表示已經(jīng)在推出針對(duì)性強(qiáng)化方案。然而，率先發(fā)現(xiàn)該漏洞的獨(dú)立安全研究人員仍然警告稱，目前銀行客戶仍然處于危險(xiǎn)當(dāng)中。

Trusteer的Rapport瀏覽器鎖定技術(shù)目前已經(jīng)成為全球五十家銀行客戶的可選下載方案，其中包括英國的國民西敏寺銀行以及匯豐銀行。在美國方面，ING Direct USA、eBay以及PayPal的客戶也在企業(yè)方面的引導(dǎo)下利用這項(xiàng)技術(shù)實(shí)現(xiàn)反木馬保護(hù)。

根據(jù)數(shù)字取證企業(yè)Group-IB的調(diào)查，某個(gè)私人網(wǎng)絡(luò)犯罪論壇開發(fā)出一套機(jī)制，能夠成功繞過瀏覽器鎖定技術(shù)。更確切地說，Trusteer Rapport的1208.41及更早版本會(huì)遭受內(nèi)存修改漏洞的侵害，從而關(guān)閉“Rapport的自檢脫鉤與攔截系統(tǒng)”。

“在新漏洞的幫助下，惡意人士將有可能在Trusteer Rapport運(yùn)行的同時(shí)攔截用戶的驗(yàn)證資料，”Group-IB公司國際項(xiàng)目負(fù)責(zé)人Andrey Komarov解釋道。

根據(jù)Komarov的說明，網(wǎng)絡(luò)犯罪論壇的成員已經(jīng)開始使用這招繞過Papport檢查，通過攔截，防止用戶的登入信息被竊取，包括網(wǎng)上銀行服務(wù)的登錄細(xì)節(jié)。

在一份聲明中，Trusteer公司CTO Amit Klein刻意淡化了該漏洞的嚴(yán)重性。Klein表示該漏洞只會(huì)影響到Trusteer軟件提供給客戶的保護(hù)層之一。

針對(duì)該漏洞的補(bǔ)丁已經(jīng)公布，而且將自動(dòng)普及到全部Trusteer Rapport客戶群體當(dāng)中。Rapport的用戶無需采取任何額外措施。這項(xiàng)安全漏洞對(duì)Rapport阻斷金融惡意軟件，例如Zeus、KINS、Carbero、Gozi、Tilon以及Citadel等，的效能不會(huì)造成任何影響。這是因?yàn)镽apport還采用了其它與該漏洞無關(guān)的保護(hù)機(jī)制，從而繼續(xù)保持?jǐn)r截惡意軟件的能力。此外，目前也還沒有任何金融惡意軟件在利用該安全漏洞。

不過El Reb網(wǎng)站還收到另一份聲明，據(jù)說這份聲明已經(jīng)在本周一被發(fā)布到Trusteer各大銀行業(yè)客戶手中。這份聲明補(bǔ)充了一項(xiàng)重點(diǎn)警告，稱“該漏洞與新型惡意軟件(所謂‘新型’是指處于未知狀態(tài)、尚未實(shí)際出現(xiàn))的結(jié)合給Rapport未采用多層次保護(hù)的產(chǎn)品帶來嚴(yán)重威脅，并很可能成功繞過Rapport的保護(hù)機(jī)制。”

根據(jù)Komarov的說法，上述安全規(guī)避方案目前仍然有效。

“問題仍未得到解決，我們可以通過視頻向大家演示如何成功繞過當(dāng)前Rapport版本，”他向El Reg網(wǎng)站解釋稱。“由于SpyEye與Carberp的源代碼已經(jīng)泄露，目前已經(jīng)出現(xiàn)一些利用該漏洞繞過安全機(jī)制的編譯副本。”

Komarov補(bǔ)充稱，Group-IB公司正在深入分析黑客團(tuán)隊(duì)利用該漏洞的具體方式。其中某些黑客此前還參與過SpyEye與Zeus中的反Rapport模塊開發(fā)，過去幾年中這兩款惡意軟件已經(jīng)成為銀行木馬工具中的主要***。

眾多網(wǎng)絡(luò)犯罪論壇自2010年以來一直在積極討論規(guī)避Trusteer的可能性與具體機(jī)制，Komarov總結(jié)稱。