思科:銀行木馬病毒Gozi正通過“Dark Cloud(烏云)”僵尸網絡傳播
眾所周知的銀行木馬病毒Gozi,也被稱為ISFB或者Ursnif,首次被發現是在2007年。在過去的十年里,它一直保持活躍,被認為是迄今為止發現存在時間最長的銀行木馬病毒之一。
Gozi在其發展歷程中曾多次泄露其源代碼,這使得Gozi代碼庫中的強大功能已經被集成到了其他惡意軟件中,如在2016年從北美銀行盜走數百萬美元的木馬病毒GozNym。
在GozNym盜竊事件之后,思科公司旗下的網絡安全部門Talos團隊就一直在監測與Gozi相關的惡意活動。根據基于最近六個月的監測結果,Talos團隊發現Gozi仍在繼續保持活躍,甚至在最近的活動中采用了新技術,如利用“Dark Cloud(烏云)”僵尸網絡進行分發。
Talos團隊在過去的幾個月里發現了幾起不尋常的Gozi分發活動,攻擊者并沒有選擇向眾多目標組織同時發送大量垃圾電子郵件,而是表現為有針對性。不僅如此,這些電子郵件還表現為經過了精心設計,企圖逃避檢測,并且更具信服力。
另外,攻擊者不僅讓分發活動與命令和控制(C&C)基礎設施僅在短時間內處于活動狀態,而且能夠迅速地轉向新的域名和IP地址。這些都將使得調查人員對其所進行的活動以及惡意軟件樣本的分析變得更加困難。
垃圾電子郵件采用了Microsoft Word文檔作為附件。打開時,文件會顯示一個誘餌圖像,使其看起來像是使用Office 365創建的。它會提示收件人“啟用編輯”,然后“啟用內容”才能查看具體內容。
如果收件人選擇了這樣做,那么嵌入在Word文檔中的惡意宏將執行,并從攻擊者控制的服務器下載并運行惡意軟件。
最終的惡意軟件會根據具體的活動而不同。絕大多數是基于Gozi代碼庫的銀行木馬病毒,有一些則屬于其他惡意軟件家族,如CryptoShuffler、Sennoma和SpyEye。
基于對Dark Cloud僵尸網絡所使用的基礎架構的分析,Talos團隊發現大多數系統位于東歐、亞洲和中東地區。
Talos團隊總結說,作為銀行密碼病毒,Gozi在全球范圍內被廣泛應用于攻擊世界各地的組織。它已經存在了超過10年的時間,根據其正在進行的活動列表來看,它并不會很快消失。攻擊者正在繼續改進他們的技術并尋找有效的新方法來混淆他們的惡意服務器基礎設施,試圖使得進行分析和跟蹤變得更加困難。
