利用Google云服务器的新型网银间谍木马Telax

龙 宇 2016-7-27 最新资讯 0 0

         利用Google云服务器的新型网银间谍木马Telax

  网银间谍木马是一项存在时间相对较久的威胁,它最早被发现于2009年,但其各新型变种遍及社交媒体网站,尤其是 Facebook。该木马主要通过社会工程学来欺骗用户点击有优惠券、优惠代码、或免费软件的 Bit.ly(网址缩短服务)短 URL。

  Zscaler 的专家也观察到部分受害者是通过路过式下载( Drive-by Downloads:软件未经用户同意或用户未察觉到的自动下载)而感染的。

  据研究人员称,这个网银间谍恶意程序已经瞄准了巴西的葡萄牙语用户。

  “Zscaler 威胁研究室已经观察这个新网银间谍木马的活动一段时间了,现在它将目标投向了巴西的葡萄牙语用户。这个恶意程序的作者利用Google云服务器来下载该恶意代码下载器,这个下载器随后负责下载与安装网银间谍木马Telax(Spy Banker Trojan Telax)。”Zscaler发布的一篇文章说道。

  Zscaler 实验室的研究员发现了这起反常活动,主要散播与社交媒体网站上——尤其是 Facebook上——并且通过非常有说服力的社会工程学来欺骗用户点击 Bit.ly 短URL,通常是承诺提供优惠券、优惠代码以及高端软件下载的链接。其中部分受害者是通过路过式下载无意中感染的。

  通过社交媒体平台来传播恶意程序非常有效,该木马通过用户信任社交网络中发布的信息内容来欺骗用户点击含有恶意代码的连接。

  这个恶意 URL 指向了一个 Google 云服务器,在这个云服务器上托管了该网银间谍的下载器,通过用户的点击,该下载器会被用户下载至其个人电脑上。这个下载器随后会下载木马Telax,该木马以窃取用户的网上银行凭证为目的。

  利用Google云服务器的新型网银间谍木马Telax

  在 Zscaler 分析的一份样本中,这个短链接指向了托管在 Google 云服务器上的PHP文件。这个 PHP 文件会进行一个302重定向下载网银间谍下载器—— Spy Banker Downloader。

  在由专家进行的攻击模拟中,可执行文件 receitanet.com 冒充为巴西联邦收入网上纳税申报服务。研究人员观察到的其他案例中,这个文件通过不同主题提供打折优惠券与伪装成高档软件应用程序吸引用户点击。

  研究人员发现这个段URL已经被点击了超过103,000次,其中的102,000次是通过Facebook进行的点击。

  利用Google云服务器的新型网银间谍木马Telax

  Google已经清除了云服务器中涉及恶意代码的部分。

  “值得注意的是Google已经将云服务器中这两个进行重新定向的活跃站点清除。这个感染循环也会由404找不到页面的信息而终结,”Zscaler 称。

  Zscaler 随后发布了有关该网银间谍的分析细节。

原文地址:http://www.77169.com/news/HTML/20151212083331.shtm

转载请注明来自华盟网,本文标题:《利用Google云服务器的新型网银间谍木马Telax》

喜欢 (0) 发布评论