DanaBot木马于5月被发现。它具有模块化结构,能够加载额外的模块以拦截流量、窃取密码和加密货币钱包等 – 通常是此类威胁的标准功能集。该木马通过包含恶意office文档的垃圾邮件传播,此文档随后用于加载木马的主体。DanaBot 最初主要针对澳大利亚的用户和金融机构,但是在4月初,我们注意到它已经变得积极针对波兰的金融机构。
独特的BackSwap技术
银行木马BackSwap变得更加有趣。大多数类似的威胁,包括Zeus、Cridex 和Dyreza在内,都是通过拦截用户的流量,将恶意脚本注入受害者访问的银行页面或将其重定向到钓鱼网站。相比之下,BackSwap使用了一种创新的技术来注入恶意脚本:利用WinAPI。它通过模拟敲击键盘以在浏览器中打开开发者控制台,然后使用此控制台将恶意脚本注入网页。在BackSwap的后续版本中,它使用JavaScript 代码通过地址栏注入恶意脚本。
Carbanak团伙头目被逮捕
3月26日,欧洲刑警组织宣布逮捕Carbanak 和CobaltGoblin背后的网络犯罪团伙的头目。这是由西班牙皇家警察、欧洲刑警组织、联邦调查局以及罗马尼亚、摩尔多瓦、白俄罗斯和中国台湾当局以及私人信息安全公司之间的联合行动。预计该头目的被捕将减少该组织的活动,但最近的数据显示,该组织的活动没有发生明显的下降。在 5月和6月,我们发现了针对东欧银行和加工公司的多起针对性网络钓鱼攻击浪潮。Carbanak 发出的钓鱼邮件伪装成信誉良好的反恶意软件供应商、欧洲中央银行和其他组织的支持热线。这些电子邮件包含利用CVE-2017-11882和CVE-2017-8570 漏洞的文件附件。
勒索软件木马使用Doppelgänging技术
卡巴斯基实验室的专家检测到了勒索软件 TrojanSynAck使用ProcessDoppelgänging技术的案例。该恶意软件的作者使用这种复杂的技术使其更加隐蔽,并使安全解决方案的检测变得更加困难。这是第一个将该技术用于勒索软件木马的案例。
另一个引人注目的事件是加密类恶意软件Purga(又名Globe)的传播活动,在此期间,这个恶意软件与包括一个银行木马在内的其他恶意软件一起被加载到感染了木马Dimnie的计算机上。
关于金融威胁的综合统计这些统计数据是基于从同意提供统计数据的用户那里收到的卡巴斯基实验室产品检测到的样本数据。
在2018年第二季度,卡巴斯基实验室解决方案帮助215,762个用户阻止了一个或多个试图从银行账户窃取资金的恶意软件的企图。
遭金融恶意软件攻击的唯一用户的数量,2018年第二季度
攻击的地理分布
银行恶意软件攻击的地理分布,2018年第二季度
按遭到攻击的用户比例排名前10位的国家/地区
国家*遭到攻击的用户比例%**1 德国 2.7%
2 喀麦隆 1.8%
3 保加利亚 1.7%
4 希腊 1.6%
5 阿拉伯联合酋长国 1.4%
6 中国 1.3%
7 印度尼西亚 1.3%
8 利比亚 1.3%
9 多哥 1.3%
10 黎巴嫩 1.2%
这些统计数据是基于从同意提供统计数据的卡巴斯基实验室产品用户收到的防病毒产品的检测数据。
*不包括卡巴斯基实验室产品的用户相对较少的国家(10,000以下)。
**其计算机遭到银行木马或ATM/ PoS恶意软件攻击的卡巴斯基实验室唯一用户占该国家卡巴斯基实验室产品所有唯一用户的百分比。
十大银行恶意软件家族
名称样本*遭到攻击的用户比例%**1 Nymaim Trojan.Win32. Nymaim 27.0%
2 Zbot Trojan.Win32. Zbot 26.1%
3 SpyEye Backdoor.Win32. SpyEye 15.5%
4 Emotet Backdoor.Win32. Emotet 5.3%
5 Caphaw Backdoor.Win32. Caphaw 4.7%
6 Neurevt Trojan.Win32. Neurevt 4.7%
7 NeutrinoPOS Trojan-Banker.Win32.NeutrinoPOS 3.3%
8 Gozi Trojan.Win32. Gozi 2.0%
9 Shiz Backdoor.Win32. Shiz 1.5%
10 ZAccess Backdoor.Win32. ZAccess 1.3%