这些流行的银行木马,你都了解吗?

银行木马是一款对针对金融客户为目标,通过各种方式窃取客户网上银行凭证信息的恶意软件,最近几年一些银行木马不仅仅传播自己,还充当勒索病毒的分销商,传播勒索病毒,笔者今天给大家介绍一些比较流行的银行木马家族。

No.1 Zeus

Zeus也称为ZBOT,是有史以来最为著名为银行木马之一,在2007年首次被发现,主要通过抓取用户凭证,更改网页表单信息,以及将用户重定向到虚假的网上银行网站,根据卡巴斯基的报道称,其作者称“退休”并将源代码卖给了另一个银行木马家族SpyEye的开发者,随后Zeus的源代码被公开,发展出不同的变种版本,主要的变种家族以:Citadel,Gameover和Atmos为主,在2016年首次在巴西出现的Zeus Panda银行木马,也使用了Zeus的许多技术,其主要攻击金融服务机构,在2018年其扩大攻击范围,以加密货币交易和社交媒体网站为目标,Zeus主要能过垃圾邮件来传播,后期使用了更高强度的代码加密技术,更灵活的恶意插件分发,通过盗取用户的银行帐户、窃取受害者网上银行等相关信息,赚取暴利。

No.2 Emotet

Emotet最初由安全研究人员在2014年首次发现,它采用模块化架构设计,并具有持久化和蠕虫式自动传播功能,主要通过垃圾邮件进行分发,通常作为一个下载器,下载其它恶意模块,并注入到相应的进程中,2018年,Emotet异常活跃,基本上每天都有新的变种出现,自2018年2月以来,Emotet用于传播其它僵尸网络程序,同时还会分发一些功索病毒。

No.3 TrickBot

TrickBot被称为Dyre僵尸网络的继承者之一,2016年针对金融服务行业的纯银行木马,主要通过垃圾邮件传播,收集用户计算机的数据,包括操作系统版本、CPU情况、内存、用户名、系统服务、软件安装情况等,并获取用户的银行凭证以及密码信息,并通过网络进行横向传播,近期发现它会盗取用户的比特币交易信息,TrickBot是一款多模块化的恶意软件,不同的模块负责不同的恶意活动,此前还发现它用来传播Ryuk勒索病毒。

No.4 Gozi

Gozi银行木马,也是今年最流行的一款银行木马,它也被称为Ursnif或者ISFB,是最古老的银行木马之一,首次开发时,Gozi使用rootkit组件来隐藏其进程,2010年,Gozi银行木马源代码被泄露,出现了几个不同的变种版本,2015年,它的源代码被第二次泄露,导致Gozi的代码被集成到了其它恶意软件当中,例如后面在2016年从北美银行盗走数百万美元的GozNym恶意软件,在GozNym盗窃事件之后,Gozi采用了新的技术,利用Dark Cloud僵尸网络进行分发,最近Gozi又与DanaBot建立联系,以瞄准一些意大利银行,十几年来,Gozi一直很活跃,被认为是最危险的银行木马恶意软件之一。

No.5 Dridex

Dridex在2011年9月被首次发现,被命名为Cidex,直到2014年6月Dridex版本的出现,是一款著名的银行木马,主要通过垃圾邮件进行传播,经过研究人员发现Dridex与Gameover Zeus在代码中有许多相似之处,同时Dridex归属地是一个讲俄语的网络犯罪组织,该网络犯罪组织开发了Gameover Zeus,在2015年,Dridex造成的损失就超过4000万美元,2016年4月,Dridex将焦点从英国银行转移到美国银行,2018年12月研究人员发现了Dridex、Emotet和Ursnif(Gozi)恶意软件之间的联系,此银行木马非常活跃,背后的运营团队也在不断的更新新的技术,改进Payload的加载方式,使其变的越来越复杂,去年1月份,FacePoint团队的安全研究人员发现Dridex扩大了感染链,通过FTP网站进行传播感染。

No.6 Cerberp

Carberp是一款专门用于盗取银行信息的恶意软件,最早于2009年被首次发现,2012年,八名参与Cerberp行动的黑客被俄罗斯事务部逮捕,在2013年,Cerberp卷土重来,2014年4月份,黑产团伙通过该软件从乌克兰和俄罗斯盗取了大约169万美元,从2013年6月份Carberp的源代码在地下黑客市公开出售,标价为50000美元,随后俄罗斯地下论坛公布了Carberp的源代码,并且在网络提供免费下载,导致Carberp木马开始不断的进化,出现了各种不同的版本,Carberp在2016年被发现企图从世界各地的银行窃取资金,这个网络犯罪团伙据称于2013年开始,涉嫌从事其他有组织犯罪活动,包括洗钱,毒品和人口贩运,2018年,被指控的Carbanak犯罪团伙领导人被捕。从那时起,Carberp一直保持平静, Carberp仍然是一种威胁,它很可能会重新抬头。

No.7 Carbanak

Carbanak恶意软件是Carbanak犯罪团伙开发,主要用于攻击银行计算机和其它金融机构而得此名,国外安全专家调查发现,认为Carbanak网络犯罪团伙与俄罗斯安全公司Infocube之间的具有一定的关联,该团队在2013年-2014年之间开发了Anunak这款恶意软件,主要针对金融机构,在2014年-2016年之间,开发使用Carbanak恶意软件,2016年初,Carbanak团伙主要针对美国和中东地区的银行和金融机构,2015年卡巴斯基首次发现Carbanak团伙,该团伙从100家金融机构窃取了10亿美元资金,2016年11月,Trustwave发现该组织针对酒店行业发起新一轮攻击,2018年2月,欧州刑警组织表示,西班牙警方逮捕了Carbanak犯罪团伙的头目,随后某安全组织曝光了Carbanak团伙的工具源码,说明文档和源码中出现了大量的俄语注释,可能Carbanak来自于俄罗斯的黑客组织,近期卡巴斯基发现了Carbanak2.0正在瞄准银行以外公司的预算和会计部门,可能会发起新一轮的攻击 。

上面介绍了一些比较流行的银行木马家族,事实上在银行木马家族谱中,还有很多成员,就不一一介绍了,同时根据笔者的跟踪与研究,Emotet、TrickBot、Ursnif(Gozi)这三款银行木马在最近一两年内异常活跃,不断的新的样本和IOC被曝光。

银行木马已经成为全球金融行业最大的安全威胁之一,可以预见,随着未来数字货币的发展,这些银行木马后期会不会转向盗取客户的数字货币帐号等信息,需要安全研究人员持续追踪,笔者曾写过多篇关于银行木马的分析报告,其中包括:TrickBot、Ursnif、Emotet、Dridex,Redaman等家族,银行木马一直是安全分析人员研究的重点,每款银行木马家族都是一种复杂的恶意软件,需要花费分析人员大量的时间,一些黑产团伙专门从事银行木马的开发运营活动,并已经从中获得了巨大的利润,并且随着最近几年勒索病毒的暴利,一些银行木马也被用于传播勒索病毒,成为勒索病毒等恶意软件的分销商。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/763530.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

面试算法-85-删除有序数组中的重复项 II

题目 给你一个有序数组 nums ,请你 原地 删除重复出现的元素,使得出现次数超过两次的元素只出现两次 ,返回删除后数组的新长度。 不要使用额外的数组空间,你必须在 原地 修改输入数组 并在使用 O(1) 额外空间的条件下完成。 说…

【Web】记录巅峰极客2023 BabyURL题目复现——Jackson原生链

目录 前言 分析 EXP SignedObject打二次反序列化 打TemplatesImpl加载恶意字节码 前文:【Web】浅聊Jackson序列化getter的利用——POJONode 前言 题目环境:2023巅峰极客 BabyURL 之前AliyunCTF Bypassit I这题考查了这样一条链子: BadAttributeV…

通过rmi实现远程rpc(可以认为java自带Dubbo RPC)

背景: 发现公司几个运行10年的游戏,用的竟然是rmi,而我只听说过dubbo 和 基于netty的rpc,于是就补充了下rmi。 其次,是最近对于跨服的思考,如何避免回调也需要用同步写法,rmi比较适合。 1)api…

408学习笔记-16-C-动态内存管理

1、为什么要有动态内存分配 常规定义出来的变量,它们的大小都是已经规定好的,即在内存中开辟的内存空间都是固定的;且空间大小不可调整,可能会造成内存空间的浪费。 于是C语言引入了动态内存开辟功能,让程序员自己可…

IDEA/Android Studio格式化代码快捷键失效的解决

问题描述 用AS写一个项目的时候,发现CtrlAltL的格式化快捷键并不生效,按下之后没有任何反应。而格式化文件快捷键CtrlAltShiftL依旧生效,难道是设置出了问题? 打开设置页面发现快捷键设置很正确,并没问题&#xff0c…

综合能源系统多时间尺度优化调度研究综述

1.研究背景 随着全球能源需求的增长以及环境保护的压力,综合能源系统(IES)成为了实现能源可持续发展的关键方案之一。IES通过集成多种能源资源,优化能源的产、供、存、消过程,提高能源利用效率,减少环境污染…

「JS 基础」异步解决方案入门

前言 为了解决Javascript 语言的执行环境是单线程所带来的问题,Javascript 将任务的执行模式分为两种:同步和异步 同步即为后一个任务等待前一个任务结束再继续执行,程序的执行顺序与任务的排列顺序是一致的 异步则完全不同,每…

鸿蒙一次开发,多端部署(一)简介

背景 随着终端设备形态日益多样化,分布式技术逐渐打破单一硬件边界,一个应用或服务,可以在不同的硬件设备之间随意调用、互助共享,让用户享受无缝的全场景体验。而作为应用开发者,广泛的设备类型也能为应用带来广大的…

trinus 3d打印机安装调试到成功打印2-堵头处理挤出机喷头不出料

使用弹簧钢板而不是美文纸,由于这款打印机没有热床功能,所以为了加大附着需要将喷头距离设低一些,否则模型极容易打着中途脱落。 但是由于不能自动调平,而且不支持手动调整4个角的高度,在喷头距离设置不当的情况下&am…

面试题2.0

目录 css 动画 深拷贝和浅拷贝 ES6新特性 事件循环 vue-router原理 flex布局 session和local storage分别是用来干嘛的? http状态码 原型链 虚拟dom vuex的五个属性 vue路由跳转的四种方式 vue生命周期 link和import的区别 GET 与 POST 的区别 fle…

使用platformIO进行arduino,esp8266,esp32编程的性能改进和一些优化

目录 多环境配置 性能优化 多环境配置 平常的一些platformio的配置是这样的: [env:esp32dev] platform espressif32 board nodemcu-32s framework arduino monitor_speed 115200 upload_speed 921600 lib_deps ; painlessmesh/painlessMesh^1.5.0bodmer/TF…

python 实现把内层文件夹的文件,复制/剪切到外层文件夹

文章目录 如下图所示,收集了很多省市的文件,结果发现市一级的文件与区县一级的文件混在一起了。 接下来使用代码实现: 根据关键词识别出 市一级的文件;把市一级的文件,移动或者复制到省文件夹下;给出了py…

STM32-Flash闪存

简介 STM32F1系列的FLASH包含程序存储器、系统存储器和选项字节三个部分,通过闪存存储器接口(外设)可以对程序存储器和选项字节进行擦除和编程。 读写Flash的用途 1.利用程序存储器的剩余空间来保存掉电不丢失的用户数据。 2.通过在程序中…

2024 年 AI 辅助研发趋势将更加强调智能化、自动化和个性化

目录 前言 AI辅助研发的技术进展 行业应用案例 医药行业 汽车行业 电子行业 面临的挑战与机遇 技术挑战 伦理问题 数据安全 机遇和解决方案 未来趋势预测 1. 深度融合AI与研发流程 2. 智能研发平台的崛起 3. 强化AI与人类智慧的融合 前言 当谈到人工智能&#xff…

Oracle 写丢失保护/影子表空间(Lost Write Protection with Shadow Tablespace)

写丢失是Oracle数据库与独立I/O子系统交互时一种错误场景。假如Oracle发出的写磁盘命令,I/O子系统也返回成功写磁盘的消息(但数据此时可能依然在I/O系统缓存中),如果在I/O系统实际写盘之前Oracle再次读取该数据,则I/O系…

JavaScript 权威指南第七版(GPT 重译)(五)

第十二章:迭代器和生成器 可迭代对象及其相关的迭代器是 ES6 的一个特性,在本书中我们已经多次见到。数组(包括 TypedArrays)、字符串以及 Set 和 Map 对象都是可迭代的。这意味着这些数据结构的内容可以被迭代——使用for/of循环…

ARM中断实验

key_inc.c #include"key_inc.h"void key1_it_config(){//使能GPIOF外设时钟RCC->MP_AHB4ENSETR | (0x1<<5);//将PF9设置为输入模式GPIOF->MODER & (~(0x3<<18));//设置由PF9管脚产生EXTI9事件EXTI->EXTICR3 & (~(0XFF<<8));EXTI-…

jQuery 事件

文章目录 1. jQuery 事件注册单个事件注册 2. jQuery 事件处理2.1 on() 绑定事件(1) on() 方法优势1(2) on() 方法优势2(3) on() 方法优势3*案例--发布微博 2.2 off() 解绑事件2.3 one() 只触发事件一次2.4 自动触发事件 3. jQuery 事件对象 1. jQuery 事件注册 单个事件注册 …

【MySQL】MySQL用户管理

文章目录 一、用户1.用户信息2.创建用户3.删除用户4.修改用户密码 二、数据库的权限1.给用户授权2.回收权限 一、用户 如果我们只能使用root用户&#xff0c;这样存在安全隐患。这时&#xff0c;就需要使用MySQL的用户管理。 1.用户信息 我们安装mysql之后&#xff0c;会自动…

MySQL的进阶使用方法

【前言】 view 直接对某张表的操作&#xff0c;就是在对数据库系统的逻辑模型层的操作。但让所有用户都看到整个逻辑模型是不合适的。出于安全的考虑&#xff0c;如会隐藏某个属性。这时就需要这种‘虚表’&#xff0c;它向用户透露一部分的数据&#xff0c;它不属于逻辑模…