银行木马

在10月9日的几个小时内,我们的客户陆续向我们反馈了同样的攻击事件。此次攻击活动似乎与银行木马Ursnif有关,这是一款长期活跃的恶意软件,与ZeuS及SpyEye一样,其根源可以追溯到2017年,如今在每次攻击活动中仍具备非常强大的感染能力。
在最近由FortiGuard Labs捕获的众多恶意软件样本中,我们发现了一个新的TrickBot变种,它携带有一个新的模块——pwgrab,试图从多款浏览器及应用程序中窃取凭证、自动填充数据和历史记录等。
Trickbot作为一个简单的银行木马病毒,已经存在了很久。随着时间的发展,我们可以看到网络犯罪分子为这个恶意软件添加了不少新功能。去年三月,Tirckbot增加了一个可以规避检测和锁屏的功能。
对于恶意软件制作者,Holly Grails框架可以很好的将恶意软件伪装成合法进程,以方便他们逃过杀软的检测来进行攻击。对于研究人员和逆向工程师,这种攻击方法也备受关注,它同时展示了Windows API的创新用法。
Android研究人员称, Anubis是一种以土耳其用户为主要目标,窃取凭证的恶意软件。在过去的几个月中,该恶意软件家族已经成功渗透到谷歌应用商店。
之前在文中我拆解了一个Emotet Downloader,它使用宏和Powershell命令从受感染的网站下载Emotet。虽然他们已经修改了他们的下载器的工作方式,幸运的是它已经上传到VirusBay。
在处理我们的日常可疑样本时,我们对Android银行木马LokiBot的检测规则与LokiBot本身似乎完全不同的样本相匹配,这促使我们更仔细地研究它。
尽管银行本身已采取措施加强其认证过程的安全性,但银行木马仍是窃取用户财务细节和提取银行账户资金的流行工具。
针对银行的恶意软件往往能获得比较高额的非法收益,因此会有许多网络犯罪分子在原始代码的基础上,对其进行修改,从而发起自己的恶意软件活动。