12月11日報道,據外媒消息稱(chēng),某網(wǎng)絡(luò )犯罪團隊竟利用谷歌云平臺(GoogleCloudPlatform)托管和傳播一款網(wǎng)銀木馬,而其主要針對的則是巴西地區的葡語(yǔ)用戶(hù)。在被Zscaler安全團隊檢測到之前,其活動(dòng)已經(jīng)存在一段時(shí)間,并且成功波及到了超過(guò)10萬(wàn)的用戶(hù)。Zscaler分析師稱(chēng),這項網(wǎng)絡(luò )犯罪活動(dòng)寄托于經(jīng)典的社會(huì )工程學(xué)伎倆,旨在欺騙用戶(hù)點(diǎn)擊惡意的bit.ly鏈接。
警告
為了愚弄用戶(hù)訪(fǎng)問(wèn)這些鏈接,攻擊者以提供免費折扣、代金券、甚至Avast和WhatsApp等免費版軟件為名進(jìn)行欺詐活動(dòng)。
如果你在好奇之下點(diǎn)擊了該鏈接,通常會(huì )下載到一個(gè)托管于GoogleCloud上的。COM或。EXE的文件。再手賤運行的話(huà),它就會(huì )給你的計算機裝上一個(gè)下載器(payloaddownload)。
這是一個(gè)安全專(zhuān)業(yè)術(shù)語(yǔ),主要指那些會(huì )在今后下載安裝更多惡意軟件或病毒的一款計算機病毒。最終,它會(huì )給受感染的計算機安裝上Telax網(wǎng)銀木馬。
Zacaler研究人員分析了v4.7版本的該木馬,結果發(fā)現其僅針對巴西地區的網(wǎng)銀客戶(hù)。
該木馬的組成非常復雜,它擁有一個(gè)模塊化的架構、用到了命令與控制服務(wù)器來(lái)泄出偷竊到的數據、能夠在32/64位系統上運行、檢查反向工程環(huán)境的存在、以及用來(lái)捕獲和繞過(guò)兩步身份驗證機制的工具。
Zscaler通過(guò)bit。ly短網(wǎng)址獲取到了一些統計數據,并發(fā)現99%的用戶(hù)訪(fǎng)問(wèn)均來(lái)自巴西。這表明該組織的木馬計劃非常完善且卓見(jiàn)成效。
該木馬團隊在10月19日到10月30日期間相當活躍,不過(guò)Google很快清理掉了托管在其云服務(wù)上的惡意文件。
至于流量的源頭,99%來(lái)自Facebook,但也有少數幾千個(gè)鏈接來(lái)自獨立域名,其中多個(gè)均以來(lái)自Emas的KleybMaxbell這個(gè)名字命名(巴西城市)。
