IBM 的 X-Force 最近發現了新的金融木馬程式,並主力對日本的 14 間銀行攻擊。此木馬最大的特點,就是結合了其他木馬程式的「長處」,成為一隻不怕沙箱、不怕虛擬機器,又可以記錄鍵盤輸入和熒幕截圖的怪物。
X-Force 把這木馬叫做 Shifu ,說是以小偷的日文シーフ(Thief)來命名。
X-Force 指,Shifu 早在今年四月就開始肆虐,並以 14 間日本銀行和歐洲部分的電子銀行平台為目標,但現時只有日本銀行受到明顯的攻擊。
他們認為 Shifu 是一隻非常精密的木馬,而且還結合了其他木馬的原始碼,使它有十分強大的功能。
Shifu 集多種病毒於一身
Shifu 起碼利用了六種的病毒。例如 Shifu 用了 Shiz 的域名產生演算法,以產生隨機的域名用作隱蔽的殭屍網絡通信;利用 Corcow 偷取在 Java 程序的密碼和敏感資料;Zeus VM 的反研究技術、反 VM 和使沙箱無效;Gozi / ISFB 的隱藏技術;像 Dridex 般用 XML 作設定;以及 Conficker 蠕蟲把系統還原點清理。 簡而言之,Shifu 有反研究、反沙箱、記錄鍵盤、熒幕截取、憑證截取等功能。
Shifu 可以偷取各類認證的資料,包括密碼、HTTP 表單上的登入資料、私人憑證等。這樣,Shifu 的幕後黑手就可以利用那些登入資料來控制銀行戶口。Shifu 也會閱讀智能卡的資料。如果受感染的是 POS ,Shifu 會使用 RAM Scrapping 來收集付款的信用卡或扣帳卡資料。此外,Shifu 也會以銀行平台作為目標。
Shifu 亦十分「獨食」。當 Shifu 植入在電腦後,它會阻檔其他惡意軟件的入侵,阻止可疑檔案的下載和安裝。企圖「入侵地盤」的檔案會傳送到幕後黑手的 C&C 伺服器,讓他了解「行情」。如果電腦一早已經有惡意軟件,Shifu 不會直接刪除它們,反而會阻止惡意軟件下載更新,從而切斷其他惡意軟件與黑客之間的連繫。
Source : The Inquirer , Security Intelligence
