两大金融网络犯罪“巨头”背后勾结,Trickbot木马瞄准多国银行

6月4日讯 暗网情报公司 Flashpoint 在2018年5月30日发布报告表示，臭名昭著的银行木马 IcedID 和 Trickbot 背后的僵尸网络操纵者已经联合起来，充分利用这两种木马骗取受害者现金。

两大金融网络犯罪“巨头”背后勾结

非常棘手的问题是，Flashpoint 公司的研究人员发现感染了 IcedID 的计算机竟然在下载另一款恶意软件 Trickbot，这是该公司在对 IcedID 恶意软件的研究过程中首次发现了这种合作，IcedID 和 Trickbot 后面的僵尸网络操纵者似乎已经将银行受害者们置于双重威胁之中。

恶意软件之间通常相互“排斥”

Flashpoint 的研究主管维塔利·克雷兹表示，在意识到上述情况后，便开始思考和着手研究这种情况发生的原因，IcedID 和 Trickbot 的这种联合应该是来自恶意软件的操纵者，而不一定是开发者。 克雷兹表示，恶意软件通常会攻击受害者的数据，尤其是在竞争激烈的银行业市场，例如 SpyEye 恶意软件就已经被发现在感染机器上卸载类似的 Zeus 木马。

Trickbot 木马瞄准多国银行

Trickbot 木马 从2016年年中开始，Trickbot 已成为一款负责浏览器中间者攻击（man-in-the-browser attack）的木马病毒。该恶意软件与 Dyre 银行木马具有多种相同属性，被认为是 Dyre 的继任者，针对金融机构发动攻击。Dyre 银行木马2015年被俄罗斯警方“消灭”。Flashpoint 公司的研究人员认为，TrickBot 背后的网络犯罪分子可能十分了解 Dyre 或简单重用了 Dyre 的代码。

Trickbot 木马利用多个模块（包括泄露的漏洞），针对各种恶意活动的受害者进行攻击，如加密货币挖矿和 ATO 操作的受害者们。

2017年7月，TrickBot 银行木马背后的黑客正在对美国银行发起新一轮攻击。有僵尸网络 Necurs 助力，TrickBot 新一轮攻击活动也针对欧洲、加拿大、新西兰、新加坡等国的金融机构。TrickBot是首个，也是唯一通过重定向计划覆盖24个国家的银行木马。

IcedID 木马创建代理能力突出

IcedID 木马于2017年被 IBM X-Force 研究团队的研究人员所发现。这款木马被认为具备多个突出的技术和程序，其中最值得注意的是该木马创建代理的能力，其创建的代理可用于窃取多个网站的凭证，且主要针对金融服务。

克雷兹表示，IcedID 应该是直接通过电子邮件发送垃圾邮件，然后该恶意软件就扮演了安装 TrickBot 的下载器，随后 TrickBot 又会在受害者的机器上安装其他模块。 这两种恶意软件结合起来，使用一系列方法和工具从受害者处窃取银行凭证，包括令牌掠夺者、重定向攻击和 web 注入。

Flashpoint 公司认为，这样的攻击极其复杂。在入侵者实施攻击的过程中，还有其他的模块可以让入侵者深入了解受害者的机器，并扩展攻击的广度和范围，进而使他们能够从已入侵的机器中获得额外的潜在利益源。 这种双刃剑的威胁不仅为入侵带来了一种新的工具力量，而且对于操控者而言，这种合作吸引了更多可开展高效账户接管行为的欺诈操控者。

Trickbot 和 IcedID 协作方式复杂

Flashpoint 公司表示，操控负责人可能监管着一个复杂的欺诈者网络，这些网络欺诈者们又连接了被这两种木马感染的机器。这个操控负责人被称作 botmaster，负责操作僵尸网络的命令和控制，以进行远程程序执行。 同时，克雷兹表示，构成这个欺诈者网络的不法分子可能只是通过别名相互认识，且都是各自领域内的行家。

Flashpoint 公司还在报告中表示，根据对 TrickBot 和 IcedID 僵尸网络操作的语言分析和调查表明，这个设计僵尸网络的互活动属于一个小组织，该组织负责购买银行恶意软件、管理感染流、向项目相关人员（包括流量操控者、网站管理员和 钱骡子）支付款项以及接受洗钱收益等。

事实上，当受害者登录到被感染系统上相关的银行页面时，botmaster 通过后端的“jabber_on”字段接受 XMPP 或 Jabber 通知。

联合的恶意软件操作具有执行账户检查（或凭证填充）的功能。该功能可确定受害者机器的价值及其访问权限，因此，恶意分子可对具有更高价值的目标进行网络渗透，并利用其他被入侵的目标进行加密货币挖矿活动。

随后，botmaster 可提取受害者的登录凭证，从而获取密保问题的答案以及电子邮件地址，然后将这些信息传递给真正负责操作的个人。同时，钱骡子们利用这些信息，在受害者所在地的同一金融机构开设银行账户。他们利用该账户来接收欺诈账户清算所（ACH）和电汇，然后将收益转发给僵尸网络的所有者或中间人。

Flashpoint 公司还指出，基于 TrickBot 和 IcedID 僵尸网络操控者机器共享的后端基础设施，这些操控者们很可能将继续展开密切的合作，以便将被盗账户变现。

目前，这种攻击的攻击范围和已被盗取的金额尚不清楚。克雷兹预测，未来将有更多的僵尸网络操控者们开始类似的合作，金融机构将面临更多的威胁。