IBM 揭露一款名為 UnregStealer 的銀行木馬,正在鎖定拉丁美洲的銀行,同時偽裝成 Chrome 瀏覽器擴充功能。資深威脅研究員 Itzhak Chimino 表示,該惡意程式透過出示虛假的安全警告,讓使用者誤以為必須更新 SSL 憑證,進而騙取使用者安裝。這款木馬採用需要真人人工監督的運作方式,使其幾乎無法被沙箱與行為偵測系統看見,因為這些系統從未能觀察到有效載荷啟動。這種作業方式使 UnregStealer 能從造訪被鎖定的銀行入口網站的受害者身上竊取工作階段 Cookie、密碼、一次性密碼以及帳號。
UnregStealer 偽裝成 SSL 憑證更新
根據 Chimino 的說法,UnregStealer 透過偽造的安全警告來欺騙使用者。依據可執行檔命名規則與投遞模式,受害者會看到一則看似安全警告的內容,告知其瀏覽器需要進行強制的 SSL 憑證更新。該憑證完全是捏造的,並不存在任何瀏覽器上的此類需求。這只是用來說服受害者執行可執行檔的「合理」說詞。
惡意程式透過工作階段監控竊取銀行憑證
當使用者瀏覽網際網路時,惡意程式會執行一段腳本,用來檢查受害者是否正在造訪被列在被鎖定銀行入口網站清單中的其中一個網站。若是,惡意程式會竊取受害者正在造訪的銀行網站的工作階段 Cookie。每當點擊某個欄位並輸入資訊時,惡意程式就會擷取受權資訊,例如密碼、一次性密碼與帳號。
人工操作有助於規避偵測系統
Chimino 解釋,這款木馬包含一名真正的操作者,會即時監看每一名受害者的工作階段,並手動觸發行動。這種變化使得該活動對沙箱與行為偵測系統幾乎「不可見」,因為這些系統從未看見有效載荷啟動。一旦資訊被擷取,UnregStealer 的下一步作法就由其人類操作者決定。
IBM 研判可能擴大鎖定範圍
根據 Chimino 的說法,UnregStealer 這款銀行木馬具備能力與潛力,可能造成更大的威脅。觀察到的基礎設施模式顯示,該操作者具備能力與動機,能把鎖定範圍擴大到本次調查所確認以外的範圍。
FAQ
UnregStealer 是什麼?它如何鎖定受害者?
UnregStealer 是一款銀行木馬,會透過偽裝成 Chrome 瀏覽器擴充功能來鎖定拉丁美洲的銀行。它透過針對「必須更新 SSL 憑證」的虛假安全警告來騙取使用者安裝,而這些警告內容完全是捏造的。
UnregStealer 如何規避偵測系統?
該惡意程式涉及一名真正的操作者,他會即時監看每一名受害者的工作階段,並手動觸發行動。這種人工操作使得該活動對沙箱與行為偵測系統幾乎「不可見」,因為這些系統從未看見有效載荷啟動。
UnregStealer 從受害者身上竊取哪些資訊?
UnregStealer 會竊取銀行網站的工作階段 Cookie,並在受害者於被鎖定的銀行入口網站點擊欄位、輸入資訊的每一次操作中,擷取受權資訊,例如密碼、一次性密碼與帳號。
