微软安全研究人员发现,德国垃圾邮件浪潮中正在传播一种强大的银行木马新变种,旨在窃取普通德国网民的网银证书。Emotet木马简介Emotet木马于去年6月被安全厂商趋势科技曝光。据趋势科技介绍,Emotet最突出的特点是其网络嗅探能力,可以通过hook8个网络API来捕获通过https协议传输的数据。Emotet主要通过垃圾邮件传播,其中包含指向特洛伊木马网站的链接或伪装成PDF文档图标的特洛伊木马。自去年11月以来,微软一直在监控Emotet银行木马的新变种:Win32/Emotet.C。这种新变种木马通过隐藏在垃圾邮件中进行传播,其传播范围在去年11月达到顶峰。来自微软恶意软件保护中心的特洛伊木马HeungSooKang的新变种发现了一个用德语编写的垃圾邮件样本,其中包含一个指向有害网站的链接,这表明恶意分发活动主要针对讲德语的人和银行网站。这种垃圾邮件通常伪装成某种欺诈性索赔,例如电话账单、银行发票或来自PayPal的消息,以吸引潜在受害者的注意。一旦系统感染了木马,它就会下载包含目标银行和服务列表的配置文件以及用于拦截和阻止网络流量的代码文件。最令人担忧的是木马的网络嗅探功能,它允许网络罪犯了解网络上传播的所有信息。简而言之,黑客可以在用户不注意的情况下窃取他们的网上银行数据。该木马可通过MicrosoftOutlook、Mozilla的Thunderbird等各种电子邮件程序以及YahooMessenger、WindowsLiveMessenger等即时通讯程序获取网上银行证书。“所有被盗信息都会自动发送回木马的命令控制服务器,除此之外,其他组件还可以发送垃圾邮件。我们检测到的Emotet垃圾邮件组件是Spammer:Win32/Cetsiol.A,”Kang写道。防御措施由于含有Emotet木马的垃圾邮件是由合法账户发送的,因此很难被邮件服务器过滤。因此,传统的“回调确认”等反垃圾邮件技术在这种木马面前将束手无策。然而,有一种技术可以对抗这些垃圾邮件,即通过检测垃圾邮件的源帐户是否真实存在来拒绝来自虚假帐户的垃圾邮件。但是,仍然建议用户不要打开或点击来自可疑电子邮件的附件和链接。如果电子邮件来自您的银行机构或对您很重要的地址,最好在多次确认后打开。参考来源:HackerNews
