中国IDC圈12月18日报道,Zscaler的安全研究员最近揭露了一种新的Spy Banker Trojan恶意软件活动,其正在利用谷歌云服务器作为其托管平台。
在上周发布的报告中,安全厂商ThreatLabZ研究部门展示了Spy Banker Trojan的作者如何使用谷歌的云来托管这款恶意软件的最初下载器。该报告也声明,此次恶意软件的活动主要目标是在巴西讲葡萄牙语的用户,他们正在使用社交工程攻击Facebook、Twitter以及其他的社交网站,诱惑那些没有怀疑的用户点击Spy Banker Trojan下载器的恶意链接。一旦下载器被安装,Spy Banker Trojan Telax恶意软件就会窃取被感染用户的网银凭证。
这个URL通常使用bit.ly服务缩短,托管在合法的谷歌云服务器上,而不是托管在一个被安全厂商标记的可疑的服务上。此外,Spy Banker Trojan Telax在2009年首次被发现,可以检测用户系统的杀毒软件,并且将信息发送给命令与控制服务器,也会呈现出伪造的双因子认证,可能蒙骗用户进入他们的二级认证代码。
Zscaler ThreatLabZ研究员指出五分之四的恶意软件活动域名托管已经拿掉他们的GoDaddy注册。报告也声明还有一些域名引导研究员到一个二级的类似的域名,仍旧积极地重定向用户到恶意软件Spy Banker Trojan Telax在谷歌云服务器上的有效托管上。
ThreatLabZ研究员指出谷歌已经清理了托管两个活动域名的云服务器,阻止感染周期发生。但是研究员也声明Spy Banker Trojan背后的人并没有放弃,而是继续瞄准谷歌的云服务作为平台,进行财务恶意软件注入。
报告写道“恶意软件作者积极地推出[Spy Banker Trojan] Telax (最新版本4.7)的新版本,并且滥用谷歌云服务器来托管有效负荷从而进行感染,此次活动并没有能利用漏洞,而且攻击者单独依赖社交工程感染终端用户。”
谷歌的云服务器以前就被攻击者滥用过,今年夏天,安全公司Elastica揭露了托管在谷歌Drive上的网络钓鱼,在前年就被用于类似的恶意软件攻击活动。
Spy Banker Trojan活动也是上个月安全研究员揭露恶意软件滥用公有云服务之后的第二次活动。本月初,来自安全厂商FireEye的研究员报告了一起复杂的网络钓鱼活动,使用云存储服务Dropbox作为命令和控制基础架构。