利用小女孩及其母亲 僵尸钓鱼网银

国外媒体报道，近来出现一波源自墨西哥的新的网络钓鱼攻击。这个攻击利用了一则具争议性的新闻，新闻内容指称一名据称失踪的四岁小女孩Paulette Gebara Farah被发现死于自家的房间内。经过调查后，我们发现这波攻击来自一个墨西哥的僵尸网络/傀儡网络 Botnet，企图盗取使用者的银行往来相关资料。

　　拉丁美洲地区盛行使用线上金融交易，而这波攻击是网络犯罪份子以线上金融交易社区为目标，致力于侵占金钱与敏感财务资料的另一案例。

　　追踪该则新闻的使用者在进入网页便沦为攻击的猎物，网页内有一则相关Paulette的文章，并宣称会提供Paulette母亲的裸照。当使用者进入这个网页后，会看到一个假的对话跳窗，要求使用者下载及安装Adobe Flash Player。（http://www.knijo.{BLOCKED}0.net/fotografias-al-desnudo-de-la-mama-de-paulette.htm）

图1、假网站中的新闻内容屏幕画面

图2、假对话视窗的屏幕画面

　　点击开始（Run）就会下载文件名为video-de-la-mama-de-paulette.exe的文件，这个文件实际上是傀儡僵尸网络的用户端程序，经Trend Micro侦测为TSPY_MEXBANK.A。
在调查过程中，我们进入了僵尸网络的控制中心（command-and-control，简称C&C）界面了解其管理功能。我们也进入了管理界面来亲眼目睹这个新傀儡僵尸网络完整的功能。

图3、C&C 登入页面

图4、C&C 主目录

　　僵尸网络的目录显示出傀儡僵尸的总数及受入侵的电脑列表。傀儡僵尸的列表列出了客户的身份证号码及姓名，以及在僵尸网络中进行了那些活动。功能包括可开启或关闭傀儡僵尸，在傀儡僵尸上启动netcat（可被用来当做后门使用，功能强大的网络工具），以及从僵尸网络中移除傀儡僵尸等的选项。

图5、傀儡僵尸目录

　　新发现的僵尸网络的功能相当广泛，和其它较早出现，业已有相当发展规模的僵尸网络家族不相上下。每一种功能都被安置在独自的模族中，让僵尸网络管理者可个别逐一地进行设定。
在僵尸网络所提供的功能中发现网址嫁接（pharming）模族也毫不令人感到意外。就如网络钓鱼模组的屏幕画面所示，这个特殊的僵尸网络目标为墨西哥的使用者，特别是当地PayPal的网站，及该国内最大的银行Bancomer。

图6、网址嫁接模组

　　除此之外，龙舌兰僵尸网络（Tequila botnet）也可从不同恶意URL中，透过HTTP或FTP来下载文件。这个新家族曾被发现投掷ZBOT的资料偷盗及假杀毒软件恶意软件。

　　不过一般消费者并非是这个僵尸网络幕后网络犯罪份子剥削的唯一对象，AdSense模组会让网站与网站的广告重覆地被载入。事实上，网络犯罪份子利用此模组来提升网站的交通流量，增加广告网络如Google谷歌的AdSense所支付的费用。

　图 7、AdSense模组

　　除了被发现出现在恶意网站中外，龙舌兰僵尸网络（Tequila botnet）也可透过如USB装置及MSN Messenger等进入系统。僵尸网络会传送夹带了文件的讯息（以附加文档之类的方式），或恶意软件的联结。

图8、MSN Messenger繁衍模组

　　由于僵尸网络被破获，其数据中心服务主机的地点已不存在。但如果其开发者开始新的攻击并散布新文件，傀儡僵尸的数量将会再度增加，也会让开发者在未来再去为僵尸网络创作新的模组。