IBM说Rovnix恶意软件将重点转移到了日本

它背后的帮派攻击机会出现的地方,将任务外包以完善漏洞利用

东京之夜
莫扬·布雷恩(Moyan Brenn) (知识共享BY或BY-SA)

据IBM X-Force称,在集中精力研究荷兰之后,一个使用Rovnix Trojan的组织对其进行了更新并重新包装,以从日本受害者的银行帐户中窃取。

IBM高级网络安全策略师Etay Maor说,利用此漏洞的恶意软件已经以各种形式存在了大约五年,现在已经进行了增强,以避免被发现,躲避银行安全并令人信服地模仿银行网站。

从IBM X-Force检查过的恶意软件样本中可以很明显地看出,所涉及的Rovnix小组密切研究了日本的银行,并提出了一个类似于特定银行站点的用户界面。 Maor说,这不仅仅是窃取信息并希望获得最好成绩的通用按键记录仪。

该恶意软件知道银行是否使用通过短信发送的一次性登录密码,并且当前的活动包括针对Android手机的伪造银行客户端,受害人被告知下载以接收这些密码。

如果该恶意软件包感染了未与目标银行进行在线交易的PC,它会执行勒索软件,从而锁定计算机并要求付款以对其进行解锁。

他说,考虑到新密码中的旧密码匹配,似乎负责日本感染的同一组演员也要负责荷兰的那些角色。

Rovnix背后的行动者显然是基于找到一种方法来解决攻击的,而该方法是找到一种克服这些国家常用的安全性以感染计算机的方法,然后再一种方法是一旦他们的帐户受到破坏就变现。

因此,犯罪企业包括高质量Web注入的创建者,这些注入模仿了已知工作的合法银行屏幕。他说,它还必须包括一个可以组织money子从帐户中收取现金的小组。

日本的攻击使用了一系列复杂的功能,包括扫描受害者的机器以查看它们是否容易受到感染,删除可以检测到恶意软件的安全性,下载模块以获取持久性和更改攻击以及在之间的通信中使用加密和数字签名。他说,受害者客户和命令与控制服务器。

IBM X-Force表示,Rovnix是2015年排名前10位的金融恶意软件捆绑包之一,按IBM从来自1亿7千万个端点和其他使用IBM产品的系统收集的数据中出现的频率来衡量。 IBM没有透露受影响端点的实际数量。

这个故事,“ IBM说,Rovnix恶意软件将重点转移到日本”,最初是由 网络世界.

有关:

版权© 2016 IDG通讯,Inc.