趋势科技的安全专家检测到了一个名叫TSPY_BANKER.YYSI的新银行木马,它的攻击目标主要是韩国各大金融机构。TSPY_BANKER.YYSI是BANKER恶意软件家族下的银行恶意软件,它会把用户重定向到受攻击者控制的网站上。
受影响的金融机构有:
韩亚银行、农业协同银行、韩国工业银行、新韩银行、友利银行、韩国国民银行、消费金融服务中心
IE暗藏木马
只有当受害者使用IE浏览器访问银行网站时,TSPY_BANKER.YYSI才可能把受害者重定向到钓鱼页面。到这里可能会有很多人和我一样感到迷惑了,用IE浏览器会受到攻击者攻击,那我们完全可以使用其他的浏览器来避免呀,没必要非得在一棵树上吊死?
这就要说说韩国的法律了——韩国规定所有用户在访问在线银行服务和进行网上购物时必须使用IE浏览器。所以韩国大约有75%的用户都是使用IE浏览器。
一旦受害者感染了该木马病毒,攻击者就会监视受害者所有的网络活动。当受害者访问特定的金融机构网站时,就会被重定向到钓鱼网站上。
趋势科技的安全专家还发现TSPY_BANKER.YYSI会感染韩国一个较流行的搜索引擎。当用户访问搜索引擎网站时,会弹出一个受攻击者控制的金融机构网站。
一个比较有趣的事:
TSPY_BANKER.YYSI恶意软件的C&C服务器是社会媒体网络Pinterest。攻击者以Pinterest为桥梁接收并发布指令。
再次利用已打补丁的漏洞
攻击者利用的漏洞主要是:两个IE漏洞(CVE-2013-2551、CVE-2014-0322)、一个微软漏洞( CVE-2014-6332 ),但值得一提的是这三个漏洞都已被打上了补丁。专家们发现这次的漏洞代码和之前的Sweet Orange(甜橙)漏洞代码很相似。