感染PC和手机，拦截短信：2012年新版宙斯木马盗走470万美元

臭名昭彰的网银大盗宙斯木马在2012年推出了新版本，攻击手段更加娴熟。根据安全公司Check Point和Versafe发布的报告，欧洲已经有超过3万名电子银行客户受到了感染，木马会同时感染受害者的电脑和智能手机，通过拦截银行发往受害者智能手机的短信、绕开银行交易中惯用的双因子验证不声不响地盗走账户中的余额。

Check Point和Versafe将这种木马和相关的僵尸网络称作“Eurograbber”。今年年初首先在意大利发现了这种新木马，随后蔓延到了整个欧洲。Eurograbber迄今已给银行客户造成470万美元的损失，受害者的损失从650美元到25000美元不等。

木马的攻击过程是这样的：

受害者点击某个作为钓鱼攻击一部分的恶意链接。然后被引导到钓鱼网站，网站会让受害者下载一到多个木马：宙斯木马的定制版以及变种SpyEye和CarBerp。这些木马可以让攻击者记录受害者的Web访问，然后将HTML和JavaScript注入到受害者的浏览器。下一次受害者访问自己的银行网站时，木马就会拦截银行证书并执行一段JavaScript代码，伪称银行为了防范手机被攻击需要进行“安全更新”。JavaScript还会拦截受害者的手机号码及移动操作系统信息用来在后面进行第二层攻击。

拿到手机号码和平台信息之后，攻击者会发送一段短信到受害者的手机上，上面会附有一条下载链接，伪称这是设备“加密软件”的地址。但实际上指向的却是手机版宙斯木马（ZITMO，专门针对Android和黑莓操作系统）。该木马会将自己注入到手机浏览器和SMS软件之间。一旦电脑和手机都被感染之后，木马就开始守株待兔，一旦受害者访问银行账号就马上转走受害者账户余额的一部分到运行该僵尸网络的犯罪分子的一个账号上。

木马然后拦截银行发给受害者的确认短信，通过一个中继号码将其转发给木马的指挥控制服务器。服务器利用该短信来确认交易然后把钱卷走。每次只要受害者登录银行木马都会偷走一部分钱，用户往往不会注意到。

虽然Eurograbber的攻击目标主要在欧洲，但是随着智能手机的普及以及网上交易的流行，我们每个人都应该对此类攻击加强防范。安装杀毒软件，更新往往成为攻击目标的软件（如Adobe Flash、Java、Web浏览器），对邮件、短信中的链接保持警惕有助于避免中招。

Checkpoint和Versafe的报告可到此处
下载。

Via：
Ars