微软安全研究人员发现,一种强大的银行木马新变种正在德国垃圾邮件的泛滥中传播,旨在窃取德国普通网民的网上银行证书。
Emotet木马介绍
Emotet去年6月,木马被安全制造商视为科技趋势***曝光。据趋势科技介绍,Emotet最突出的特点是其网络嗅探能力,通过hook 8个网络API它能够捕获通过https协议传输的数据。
Emotet它主要通过垃圾邮件传播。电子邮件包含挂马网站的链接或伪装PDF木马的文档图标。
自去年11月以来,微软一直在监测一种Emotet银行木马的新变种Trojan:Win32 / Emotet.C。新变种木马隐藏在垃圾邮件中,并于去年11月达到顶峰。
变种木马出新招
来自微软恶意软件中心HeungSoo Kang发现了一个用德语写的垃圾邮件样本,包含了有害网站的链接,表明恶意沟通活动的目标主要是德语用户和银行网站。
这种垃圾邮件通常伪装成某种欺诈索赔,如电话账单、银行发票或婴儿(PayPal)吸引潜在受害者注意的信息。
一旦系统感染了木马,它将下载一系列目标银行和服务的配置文件和一个用于拦截和阻塞网络流量的代码文件。
最令人担忧的是木马的网络嗅探功能,因为使用该功能的网络罪犯可以了解网络上传播的信息。简而言之,黑客可以在用户不知不觉中窃取他们的网上银行数据。
包括微软在内的木马可以通过Outlook,Mozilla的Thunderbird和即时消息程序一样Yahoo Messenger和Windows Live Messenger等各种电子邮件程序获得网银证书。
“所有被盗信息将自动发回木马的指令控制服务器,其他部件可以通过该服务器发送垃圾邮件。我们检测到的Emotet垃圾邮件组件是Spammer:Win32 / Cetsiol.A。” Kang写道。
防御措施
因为包含有Emotet木马的垃圾邮件是由合法账户发送的,因此很难被邮件服务器过滤掉。因此,例如“回调确认”面对木马,这种传统的反垃圾技术将无能为力。
然而,有一种技术可以对抗这些垃圾邮件,即通过检测垃圾邮件的来源账户是否真实,拒绝接收来自虚假账户的垃圾邮件。
但是,建议用户不要打开或点击可疑电子邮件的附件和链接。如果电子邮件来自您的银行机构或重要地址,则***多次确认后再打开。
参考来源:HackerNews