鑒于最近發生了一系列針對金融機構的攻擊事件，研究人員向用戶提出了告警，其中利用到的新型銀行木馬被稱為 IcedID。

　　木馬是 IBM X-Force 團隊的研究人員于 9 月份發現的。他們表示，木馬中用到了多處先進的技術，如全網絡覆蓋的能力以及通過本地代理的方式建立流量隧道來監視瀏覽器活動的能力。

　　研究人員在發表的一篇報告中指出：“目前，惡意程序主要針對美國的銀行業、信用卡提供商、移動服務提供商以及賬目、郵件、電子商務相關的網站。此外，兩家英國銀行也是這次的攻擊目標?！?/p>

　　IcedID 和 TrickBot 以及 Dridex 木馬類似，能夠實現網絡數據包的注入與重定向攻擊?！半m然現在下結論還為時尚早，但就木馬的制作水平、分發方式以及針對的攻擊目標都表明該組織對這一領域并不陌生?！?研究人員補充道?！癐cedID 通過 Emotet 進行分發，后者作為一個 dropper 負責將 IcedID 釋放到目標系統。而 Emotet 則是借助垃圾郵件傳播的，雖然內容上看起來像是來自銀行的消息，但其中卻包含了惡意的 zip 附件?！?/p>

　　來自 X-Force 的報告稱：“IcedID 具備在不同設備間轉移的能力，研究人員觀察到它能感染終端服務器，例如打印機和共享的網絡設備，這些設備在局域網或廣域網中存在公共的接入點，這也表明 IcedID 能夠通過惡意郵件擴散到特定機構的內部?！?/p>

　　對于被感染的 Windows 系統，IcedID 會在注冊表中創建一個 RunKey 值，使得木馬在系統重啟后還能繼續運行。根據 X-Force 的說法，IcedID 需要重新啟動系統才能完成全面部署，同時重啟也可以作為一種逃避沙箱檢測的手段。

　　一旦部署完成，攻擊者將通過代理方式對受害者的網絡流量進行重定向。惡意軟件會監控目標金融機構的 URL，一旦觸發就會執行指定的數據包注入操作，從而將受害者重定向到預先準備好的虛假銀行網站，該網站會提示用戶輸入用戶名和密碼。

　　“為了避免引起用戶的懷疑，重定向過程中會在地址欄中保留目標銀行的正確 URL 及對應的 SSL 證書。從這一點來看，攻擊者在劫持受害者網絡會話的過程中也用到了一定的社工技巧。此外，主機和 C&C 服務器間的通信也是基于 SSL 實現的?！?研究人員介紹道。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇