微軟安全研究人員發(fā)現(xiàn)，在德國泛濫的垃圾郵件風(fēng)潮中正在傳播一個強大的銀行木馬新變種，該木馬意在盜取德國普通網(wǎng)民的網(wǎng)銀證書。

[[125987]]

Emotet木馬介紹

Emotet木馬在去年6月份被安全廠商趨勢科技***曝光。據(jù)趨勢科技所說，Emotet最突出的特點是其網(wǎng)絡(luò)嗅探能力，通過hook 8個網(wǎng)絡(luò)API它能夠捕獲通過https協(xié)議傳輸?shù)臄?shù)據(jù)。

Emotet主要通過垃圾郵件進行傳播，郵件中含有一個掛馬網(wǎng)站的鏈接，或者包含一個偽裝成PDF文檔圖標的木馬。

自從去年11月份以來微軟一直在監(jiān)測一種Emotet銀行木馬的新變種Trojan:Win32 / Emotet.C。該新變種木馬靠隱藏在垃圾郵件中傳播，并在去年11月份傳播量達到了頂峰。

變種木馬出新招

來自微軟惡意軟件防護中心的HeungSoo Kang發(fā)現(xiàn)了一個垃圾郵件樣本，該郵件使用德語所寫，里面包含了一個有害網(wǎng)站的鏈接，這表明該惡意傳播活動的目標主要是德語使用者和銀行網(wǎng)站。

這種垃圾郵件一般偽裝成某種欺詐性索賠，例如電話賬單、銀行發(fā)票或來自貝寶(PayPal)的信息，以此來吸引潛在受害者的注意。

一旦系統(tǒng)感染該木馬，它將下載一個包含一系列目標銀行和服務(wù)的配置文件和一個用于攔截和阻塞網(wǎng)絡(luò)流量的代碼文件。

最令人擔(dān)憂的是該木馬的網(wǎng)絡(luò)嗅探功能，因為利用該功能網(wǎng)絡(luò)罪犯可以對網(wǎng)絡(luò)上傳播的信息無所不知。簡而言之，即黑客可以在用戶毫無察覺的情況下將他們的網(wǎng)銀數(shù)據(jù)偷走。

該木馬能夠通過包括微軟的Outlook，Mozilla的Thunderbird和即時消息程序如Yahoo Messenger和Windows Live Messenger等各種各樣的電子郵件程序拿到網(wǎng)銀證書。

“所有被盜的信息會自動發(fā)回給木馬的指令控制服務(wù)器，此外其他組件可以通過該服務(wù)器發(fā)送垃圾郵件。我們檢測到的Emotet垃圾郵件組件為Spammer:Win32 / Cetsiol.A。” Kang寫道。

防御措施

因為包含有Emotet木馬的垃圾郵件由合法賬號發(fā)出，所以它們很難被郵件服務(wù)器濾除。因此，如“回調(diào)確認”這種傳統(tǒng)的反垃圾技術(shù)面對該木馬將無能為力。

然而，有一種技術(shù)可以對抗這些垃圾郵件，那就是可以通過檢測垃圾郵件的來源賬號是否真實存在，以此來拒絕接收那些來自虛假賬號的垃圾郵件。

不過，還是建議用戶不要打開或點擊來自可疑郵件的附件和鏈接，如果郵件來自你的銀行機構(gòu)或者對你比較重要的地址，那么***多次確認之后再打開。

參考來源：HackerNews