2012年上半年,某些银行木马的幕后操纵者遭到起诉。SpyEye木马的作者私下里宣布,他将全力以赴进行其恶意软件第2版的开发,因此这段时间里可能无法与外界联系。然而,不久之后,据传他已遭到指控,这可能才是他真正不露面的原因。除了SpyEye的作者外,宙斯的作者也遭到有针对性的调查。
表1 :2012年第一季度和第二季度,由BankGuard检测到的银行木马家族的比例
2012年第二季度,SpyEye的传播略有回落,而并未发现宙斯有这种倾向。恰恰相反:宙斯的感染数量却呈快速上升趋势。这是因为,自从源代码公布后,众多恶意软件的作者现在都可以利用这个源代码,来创建属于自己的恶意软件版本,而宙斯的作者实际上不再是一个人了。ZeuS本身现在已经被克隆木马所取代。
克隆木马于2011年公布,如IceIX和LICAT,传播的数量惊人,但并没有很大的创新。可是2012年出现的克隆木马却并非如此:GAMEOVER是通过P2P网络,而不是使用具有单独的中央服务器的普通架构进行通讯。由于中央服务器代表僵尸网络基础设施的单个失败连接点,因为中央服务器可以被调查机关或供应商关闭,这一创新大大提高了僵尸网络的稳定性。Citadel 也让自己名声大振。程序员让买家同意支持协议,并提交通常在商业付费软件或大型的开源项目中能找到的功能请求、特点等。
但是,并非只有宙斯的作者和自诩的SpyEye继任者面临法律问题。一些Carberp木马的幕后也被逮捕。2011年年底前,Carberp仍然快速增长的感染数,要归功于bootkit的整合。2012年3月和6月逮捕事件发生后,该木马再次被人们淡忘。
Sinowal感染的数量处于其一贯的水平上。然而,在第二季度,Bankpatch第一次坐到了银行木马的第一宝座。它通过实施新的机制来避开防病毒安全产品,这可能是导致该木马活动异常频繁的原因。
其他木马,如Bebloh,Ramnit,Silentbanker 和 Gozi等基本保持原来的水平。
2012年上半年最显著的还有攻击主题自身的专业化。例如,一个新的SpyEye变种被识别出来,它激活受害者的网络摄像头,并为自己的目的 而使用视频流。
过去,大多数发生的攻击方式相对来说比较简单。例如,当受害人登录到网上银行后,他被提示输入了大量的TAN,这些随后被转发给攻击者。即使网上银行网站的输入屏幕已显示,但似乎银行的警告,让越来越少的客户陷入这种传统社会工程的陷阱。
早些时候使用的将客户的资金转移给攻击者的攻击伎俩也不再继续。不再试图来掩饰盗窃行为。因为,细心的客户可能马上会发现自己账户的钱不见了。由于银行对可疑的转账明显的会搁置一段时间,如果客户及时的通知银行,就能够阻止转账的发生。
然而,新的方法都复杂了很多:在所谓的Automatic Transfer System (ATS)(自动转帐系统(ATS))攻击中,整个盗窃行为的发生,不需要客户的任何互动。账户余额和交易记录也被使用同样的方法所操纵,受害人根本不知道自己的钱已被偷走。
G Data BankGuard 技术,能够有效地防止这些攻击,因为它可以防止底层代码的插入,人为的浏览器攻击。2012年上半年,没有发现使用不同形式攻击的银行木马,G Data BankGuard也没有检测到!
应该指出的是,2012年下半年,暗市交易圈的某些人将尝试接管ZeuS和SpyEye作者的角色。但是,如果他们为避免被起诉而保留更多在幕后,就不会来得太突然。此外,我们预计攻击手段会更加专业。
