真假新闻连环套 殭尸网络利用失踪案

近来出现一波源自墨西哥的新的网络钓鱼攻击,这个攻击利用了一则具争议性的新闻,新闻内容指称一名据称失踪的四岁小女孩被发现陈尸于自家的房间内。经过调查后,我们发现这波攻击来自一个墨西哥的?尸网络/傀儡网络,企图盗取使用者的银行往来相关数据。

拉丁美洲地区盛行使用在线金融交易,而这波攻击是网络犯罪份子以在线金融交易小区为目标,致力于侵占金钱与敏感财务资料的另一案例。

追踪该则新闻的使用者在进入网页便沦为攻击的猎物,网页内有一则相关Paulette的文章,并宣称会提供Paulette母亲的裸照。当使用者进入这个网页后,会看到一个假的对话跳窗,要求使用者下载及安装Adobe Flash Player。

点击开始(Run)就会下载档名为video-de-la-mama-de-paulette.exe的档案,这个档案实际上是傀儡?尸网络的客户端程序,经Trend Micro趋势科技侦测出为TSPY_MEXBANK.A。

在调查过程中,我们进入了?尸网络的控制中心(command-and-control,简称C&C)接口了解其管理功能。我们也进入了管理接口来亲眼目睹这个新傀儡?尸网络完整的功能。

?尸网络的目录显示出傀儡?尸的总数及受入侵的计算机列表。傀儡?尸的列表列出了客户的身份证号码及姓名,以及在?尸网络中进行了那些活动。功能包括可开启或关闭傀儡?尸,在傀儡?尸上启动netcat(可被用来当做后门使用,功能强大的网络工具),以及从?尸网络中移除傀儡?尸等的选项。

新发现的?尸网络的功能相当广泛,和其它较早出现,业已有相当发展规模的?尸网络家族不相上下。每一种功能都被安置在独自的模族中,让?尸网络管理者可个别逐一地进行设定。

在?尸网络所提供的功能中发现网址嫁接(pharming)模族也毫不令人感到意外。就如网络钓鱼模块的屏幕画面所示,这个特殊的?尸网络目标为墨西哥的使用者,特别是当地PayPal的网站,及该国内最大的银行Bancomer。

除此之外,龙舌兰?尸网络(Tequila botnet)也可从不同恶意URL中,透过HTTP或FTP来下载档案。这个新家族曾被发现投掷ZBOT的数据偷盗及假防毒软件恶意软件。

不过一般消费者并非是这个?尸网络幕后网络犯罪份子剥削的唯一对象,AdSense模块会让网站与网站的广告重复地被载入。事实上,网络犯罪份子利用此模块来提升网站的交通流量,增加广告网络如Google谷歌的AdSense所支付的费用。

除了被发现出现在恶意网站中外,龙舌兰?尸网络(Tequila botnet)也可透过如USB装置及MSN Messenger等进入系统。?尸网络会传送夹带了档案的讯息(以附加文件之类的方式),或恶意软件的联结。

由于?尸网络被破获,其控制中心伺服主机的地点已不存在。但如果其开发者开始新的攻击并散布新档案,傀儡?尸的数量将会再度增加,也会让开发者在未来再去为?尸网络创作新的模块。