网络犯罪分子采用间谍技术来拉下网上银行的哈
只有讯连讯组措施所关联的秘密,持久和高级恶意软件的时代。犯罪分子现在正在使用类似的威胁和技巧来窃取数百万美元的金融机构。
去年,安全供应商卡巴斯基实验室的研究人员被称为调查来自俄罗斯的29个银行和其他组织的不寻常的盗窃,导致发现三项新的复杂攻击活动。他们的调查结果在公司年度安全分析师峰会期间周一提出。
一组攻击者正在使用称为Metel或Corkow的模块化恶意软件程序,以引入属于银行的计算机系统并反转ATM事务。在一个晚上,这个帮派使用这种艰难的交易回滚技巧欺骗了俄罗斯银行的数百万卢布。
梅尔攻击者通过向银行雇员和其他金融机构的雇员发送矛网络钓鱼电子邮件来开始。一旦他们妥协了这些组织中的计算机,它们就会在网络内横向移动,以识别和访问控制事务的系统。
一旦实现了这一点,他们就自动回滚了机构发布的特定借记卡的ATM交易。在夜间,攻击者在各个城市驾驶并从其他银行的ATM取款。但是,在发卡银行的系统中,交易自动颠倒,因此账户余额永远不会改变。
卡巴斯基研究人员表示,他们发现了属于俄罗斯30金融机构的电脑上的梅尔恶意软件。然而,他们认为,集团的活动更广泛,可能影响来自世界各地的金融组织。
还有一个针对银行和金融机构的第二组使用了一个恶意软件程序被称为GCMan,它使用具有恶意可执行的RAR档案的电子邮件分发,并将其视为Microsoft Word文档。
与某些Cybersepioneage组类似,GCMAN攻击者使用合法的系统管理和渗透测试工具,如腻子,VNC和MeterPreter,用于网络内的横向移动。该组标识处理金融交易的服务器,并创建Cron作业(计划任务),以自动转移到多个电子货币服务,通常在周末。在一个案例中,卡巴斯基研究人员发现脚本以每分钟200美元的速度发起交易。
GCMAN组也因为它的耐心而脱颖而出。在一个事件中,它等待了一年半从妥协的初始点,直到它开始虹吸。在此期间,其成员探测了70个内部主机,损害了56个帐户并使用了139个不同的IP地址来执行它,主要与Tor出口节点和受损的家庭路由器相关联。
与梅尔梅尔一样,卡巴斯基研究人员只确定了俄罗斯的Gcman受害者,特别是三个金融机构。但是,这一组可能的距离可能超越了国家。
第三组不是新的,但是是2015年2月在暴露后大约五个月沉默的。直到那个时候,Cybercime Gang使用了一个叫做Carbanak的定制恶意软件程序,以便在至少30个国家的数百个金融机构中窃取数百万美元。
本集团已返回新版本的恶意软件 - Carbanak 2.0 - 并在非金融组织中开始定位预算和会计部门。
“在一个卓越的案例中,Carbanak 2.0帮派利用它的访问金融机构,商店股东更改一家大公司的所有权细节,”卡巴斯基研究人员在博客岗位上说。“该信息被修改为将货币骡子命名为公司的股东,展示其ID。目前尚不清楚他们希望将来使用这些信息。“
卡巴斯基实验室发布了所有三个组使用的工具的妥协指标,以便世界各地的组织可以扫描自己的网络以潜在妥协。