为了保护世界各地的客户,来自IBM security X-Force的一组安全专家最近发现了他们所谓的Shifu——日语中“小偷”的意思这是一种针对日本银行客户和平台的新型银行病毒。师傅木马拥有自己的杀毒软件。
在网络安全布道者Limor Kessem分享的一篇博客文章中,她指出,据报道,这种恶意软件自2015年4月以来一直活跃,正在攻击14家日本银行机构和一些欧洲使用的电子银行平台。不过,目前只有日本遭受攻击。
这种类型的木马的独特之处在于它具有反恶意软件系统。
凯森解释说,一旦恶意软件感染了受害者使用的机器,它就会安装一个特殊的模块。这样,师父就能将其他银行恶意软件拒之门外。
如果该模块从不安全的HTTP连接中检测到可疑的恶意软件内容,它会尝试阻止它们。如果失败,则将这些文件重命名为“infected.exx”。它们还将被发送到它的命令和控制服务器。此外,如果文件被设计为自动运行,恶意软件有能力欺骗操作系统“内存不足”通知。
特洛伊木马的确切来源仍然未知。
“那么是谁把这位大师组合在一起的呢?”在分析师父的剧本后,我们的研究人员发现了用俄语写的评论,“Kessem所述在邮局。“师傅的开发者可以是说俄语的人,也可以是前苏联国家的人。也有可能真正的作者混淆了他们的真实来源,通过暗示一个据称常见的网络犯罪来源来迷惑研究人员。”
凯塞姆说,师傅复制了已经存在的臭名昭著的银行木马的功能,这使得它非常复杂。它使用了Corcow、Zeus、conficker、dyre和Shiz的各个方面,以及Gozi / ISFB木马。
据报道,它的一些功能包括通过使用自签名证书的安全连接进行通信;清除受感染机器上的本地系统还原点;以及反研究技术,以躲避安全分析工具。万博体育登录首页
莫扬·布伦|Flickr