微软安全研究人员发现,在德国泛滥的垃圾邮件风潮中正在传播一个强大的银行木马新变种,该木马意在盗取德国普通网民的网银证书。
Emotet木马介绍
Emotet木马在去年6月份被安全厂商趋势科技首次曝光。据趋势科技所说,Emotet最突出的特点是其网络嗅探能力,通过hook 8个网络API它能够捕获通过https协议传输的数据。
Emotet主要通过垃圾邮件进行传播,邮件中含有一个挂马网站的链接,或者包含一个伪装成PDF文档图标的木马。
自从去年11月份以来微软一直在监测一种Emotet银行木马的新变种Trojan:Win32 / Emotet.C。该新变种木马靠隐藏在垃圾邮件中传播,并在去年11月份传播量达到了顶峰。
变种木马出新招
来自微软恶意软件防护中心的HeungSoo Kang发现了一个垃圾邮件样本,该邮件使用德语所写,里面包含了一个有害网站的链接,这表明该恶意传播活动的目标主要是德语使用者和银行网站。
这种垃圾邮件一般伪装成某种欺诈性索赔,例如电话账单、银行发票或来自贝宝(PayPal)的信息,以此来吸引潜在受害者的注意。
一旦系统感染该木马,它将下载一个包含一系列目标银行和服务的配置文件和一个用于拦截和阻塞网络流量的代码文件。
最令人担忧的是该木马的网络嗅探功能,因为利用该功能网络罪犯可以对网络上传播的信息无所不知。简而言之,即黑客可以在用户毫无察觉的情况下将他们的网银数据偷走。
该木马能够通过包括微软的Outlook,Mozilla的Thunderbird和即时消息程序如Yahoo Messenger和Windows Live Messenger等各种各样的电子邮件程序拿到网银证书。
“所有被盗的信息会自动发回给木马的指令控制服务器,此外其他组件可以通过该服务器发送垃圾邮件。我们检测到的Emotet垃圾邮件组件为Spammer:Win32 / Cetsiol.A。” Kang写道。
防御措施
因为包含有Emotet木马的垃圾邮件由合法账号发出,所以它们很难被邮件服务器滤除。因此,如“回调确认”这种传统的反垃圾技术面对该木马将无能为力。
然而,有一种技术可以对抗这些垃圾邮件,那就是可以通过检测垃圾邮件的来源账号是否真实存在,以此来拒绝接收那些来自虚假账号的垃圾邮件。
不过,还是建议用户不要打开或点击来自可疑邮件的附件和链接,如果邮件来自你的银行机构或者对你比较重要的地址,那么最好多次确认之后再打开。