今年稍早時,RSA發布一份安全報告中指出,一名暱稱為vorVzakone的駭客在俄國的網路地下論壇發出招募訊息,邀請其他駭客共同參與「Blitzkrieg」計畫。該項行動預計透過木馬程式Gozi的變種Gozi Prinimalka進行,預計鎖定30家美國銀行的客戶,竊取其網路銀行帳戶中的金額。
不過隨後有其它的安全專家表示,Project Blitzkrieg太過明目張膽,因此猜測它可能只是官方單位的某個間諜行動。然而,McAfee實驗室在分析了Gozi Prinimalka病毒及Project Blitzkrieg的相關訊息後,他們認為Project Blitzkrieg是一個確實存在的威脅。
RSA的網路犯罪和網路詐欺專家Limor Kessem回應,McAfee的報告只是印證了RSA的警告所言不虛,事實上,RSA從來不認為駭客會取消該攻擊計畫,只是他們將更加隱密的進行。而自從RSA揭露了這項攻擊計畫後,vorVzakone也沒有再張貼任何訊息。
根據RSA的報告,Gozi Prinimalka會透過email感染個人電腦,然後會如同Zeus或SpyEye病毒一般,當用戶登入他們的網路帳戶時,再攔截其帳號與密碼的訊息。不過比較特別的是,Gozi Prinimalka的命令與控制伺服器(Command-and-Control server, C&C server)具備一個虛擬機器複製模組(virtual machine syncing module),該模組可以複製受感染的電腦的設定,比如時區、螢幕解析度、cookies、瀏覽器,以及安裝的軟體ID,因此攻擊者可以模擬一個虛擬的系統,然後以該虛擬系統登入該使用者的網路帳戶。由於該虛擬系統會使用感染電腦的最新的IP位址,因此將更難被偵測到。
McAfee的報告中則進一步指出,自從今年四月以來,就有許多小規模的攻擊透過Gozi Prinimalka進行,而且至少有300至500台電腦遭受感染,而這些小規模的攻擊應該只是前導測試,駭客試圖藉此更加熟悉該木馬程式的運作。此外,McAfee也偵測到,有許多新的C&C伺服器在近幾個月大量出現,一開始在羅馬尼亞、俄國、烏克蘭被發現,不過隨後也在其他地區陸續出現。
McAfee實驗室的研究人員Ryan Sherstobitoff指出,根據McAfee蒐集的資訊證明,該計畫仍持續進行中,而最新一起利用Gozi Prinimalka的攻擊發生在11月30日。另一方面,Sherstobitoff也說明,並非所有電腦受感染的用戶都會成為攻擊目標,攻擊者會分析其帳戶的金額,然後選擇竊取那些具有高額度金額的帳戶,因此與其說Project Blitzkrieg是大規模的攻擊,不如說它是更具選擇性的目標式攻擊。
Sherstobitoff建議,為了因應Project Blitzkrieg,金融機構必須強化他們的監測機制,並特別留意異常行為,比如從國外地區登入、某個客戶的IP位址在非一般的時間點時登入或交易、以及許多無關的帳戶的金額同時轉到另一個相同的帳戶中。此外,銀行單位也應該通知他們的用戶,必須確保其防毒軟體隨時都處於最新狀態,如果用戶發現登入網路銀行時有任何可疑訊息或奇怪的彈跳式視窗,也最好隨即通報,以降低可能的風險。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7270
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7270
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
沒有留言:
張貼留言