TSPY_BANKER木马病毒攻击韩国银行

14-12-23 来源：[db:作者]

收藏我要投稿

趋势科技的安全专家检测到了一个名叫TSPY_BANKER.YYSI的新银行木马，它的攻击目标主要是韩国各大金融机构。TSPY_BANKER.YYSI是BANKER恶意软件家族下的银行恶意软件，它会把用户重定向到受攻击者控制的网站上。

受影响的金融机构有：

韩亚银行、农业协同银行、韩国工业银行、新韩银行、友利银行、韩国国民银行、消费金融服务中心

IE暗藏木马

只有当受害者使用IE浏览器访问银行网站时，TSPY_BANKER.YYSI才可能把受害者重定向到钓鱼页面。到这里可能会有很多人和我一样感到迷惑了，用IE浏览器会受到攻击者攻击，那我们完全可以使用其他的浏览器来避免呀，没必要非得在一棵树上吊死？

这就要说说韩国的法律了——韩国规定所有用户在访问在线银行服务和进行网上购物时必须使用IE浏览器。所以韩国大约有75%的用户都是使用IE浏览器。

一旦受害者感染了该木马病毒，攻击者就会监视受害者所有的网络活动。当受害者访问特定的金融机构网站时，就会被重定向到钓鱼网站上。

趋势科技的安全专家还发现TSPY_BANKER.YYSI会感染韩国一个较流行的搜索引擎。当用户访问搜索引擎网站时，会弹出一个受攻击者控制的金融机构网站。

一个比较有趣的事：

TSPY_BANKER.YYSI恶意软件的C&C服务器是社会媒体网络Pinterest。攻击者以Pinterest为桥梁接收并发布指令。

再次利用已打补丁的漏洞

攻击者利用的漏洞主要是：两个IE漏洞（CVE-2013-2551、CVE-2014-0322）、一个微软漏洞（ CVE-2014-6332 ），但值得一提的是这三个漏洞都已被打上了补丁。专家们发现这次的漏洞代码和之前的Sweet Orange（甜橙）漏洞代码很相似。