Gozi银行木马的“黑盒游戏”:你永远不知道邮件附件有什么

阅读量96515

|评论1

发布时间 : 2019-07-31 17:41:11

 

银行、证券、信托、国际贸易……大众眼中的金融外贸行业常常是多金、高端的形象,而一旦遭遇安全威胁损失也远超其他行业。近日,Gozi银行木马借助Pushdo垃圾邮件僵尸网络在全球泛滥之际,360安全大脑就监测到国内部分外贸、金融行业计算机也已惨遭Gozi银行木马毒手。7月30日上午,360安全大脑拦截Gozi银行木马攻击达300余次,威胁远超想象。不过,已安装了360安全卫士的用户则无需担心,360安全卫士搭载的邮件保护功能,可第一时间防御和查杀Gozi银行木马,守护用户安全。

 

Gozi银行木马来势汹汹 邮箱附件仍是“中毒重灾区”

众所周知,在外贸、金融行业,跨国物流是白领们的工作日常,收件箱每天收到雪花般飞来的国际快递单邮件。而360安全大脑经过监测发现,此次泛滥的Gozi银行木马,就是通过日常邮件,伪装成极具迷惑性的DHL快递单的钓鱼Excel文档进行传播。用户一旦中招,木马成功入侵进出口贸易企业、大型金融机构计算机系统,就能窃取电脑中存储的银行帐户、浏览器凭证等机密信息。

值得一提的是,此次Gozi银行木马从海外蔓延至国内,与其借助Pushdo垃圾邮件僵尸网络传播脱不开关系。所谓Pushdo垃圾邮件僵尸网络,其实是一个由数量庞大的计算机构成的能够自动对外发送钓鱼邮件的网络,借助这一僵尸网络,不法分子可将已感染机器变为垃圾邮件的分销点,以此控制更多的机器。

图1 虚假的DHL钓鱼文档

从360安全大脑捕获到的攻击活动和溯源分析,此次Gozi银行木马攻击的主要手法就是通过文档中的恶意宏代码下载执行病毒。当外贸、金融行业的白领像往常一样打开邮件附件中的文件并启用宏时,钓鱼文档就开始向计算机释放Gozi银行木马和Pushdo垃圾邮件投递器,白领电脑中存储的银行帐户、浏览器凭证等敏感信息都将被窃取一空,同时由于Pushdo垃圾邮件投递器的存在,这台中招的电脑还将成为传播病毒的“僵尸机”,与白领有邮件业务往来的用户,都可能惨遭病毒入侵,这也是Gozi银行木马能够迅速在全球肆虐的原因之一。

图2 Gozi木马攻击计算机的进程树

 

扒皮Gozi黑历史 感染全球百万电脑开发黑客被判95年监禁

说起Gozi银行木马的黑历史,可以追溯到2007年,它被认为是迄今为止发现存在时间最长的银行木马之一。在过去的十余年里,Gozi银行木马威胁从未消散,虽攻击目标主要为各国的大型银行,代码却一直更新迭代,像野火烧不尽一般,多次上演安全威胁。值得注意的是,Gozi发展历程中曾多次泄露其源代码,这使得Gozi代码库中的强大功能早已被集成到其他恶意软件中,曾导致北美银行被盗数百万美元的木马病毒GozNym,就与Gozi脱不开干系。

病毒肆虐臭名昭著,开发Gozi的黑客还因其被判95年监禁。2013年,俄罗斯三名黑客被指控利用Gozi银行木马感染全球超百万台计算机,因涉嫌阴谋、银行欺诈、开发Gozi软件入侵电脑并把这种软件卖给黑客,盗取银行账户存款等多项罪名,其中一人更陷入高达95年的牢狱惩戒,直接创下了黑客刑期的最高纪录,足可见Gozi银行木马威胁的严重性。

图3 打开文档时360安全卫士防御住Gozi木马的攻击

作为全球最大的分布式智能安全系统,360安全大脑一直持续监测各类高危病毒。针对近日抬头的Gozi银行木马,360安全大脑提醒广大企业用户和个人做好防护,并给出如下安全建议:

1、切记不要轻易点击陌生邮件,更不要随意点击下载不明来源的附件;

2、请确保在安全软件开启下打开文档,若文档中携带宏,请尽量避免启用宏;

3、企业邮件服务器可尝试部署邮件安全网关、升级安全策略,将此类邮件拉入垃圾邮件黑名单等措施实施防御;

4、提高安全管理意识,及时为系统和应用软件打补丁,关闭不必要的端口和共享文件;

5、前往weishi.360.cn,安装并开启360安全卫士的邮件保护功能,能够在第一时间拦截和查杀该木马。

本文由360安全卫士原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/183170

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
360安全卫士
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66