bebloh最新垃圾邮件攻击转移到日本

一个旧的银行木马已经在欧洲经营在一个较低的水平已经飙升活动转移到日本后。网络犯罪分子使用的是本地品牌如本地ISP提供商和貌似合法的地址欺骗用户下载恶意软件,可以通过监控浏览器窃取信息,文件传输协议(FTP)的客户,和邮件客户端。的目标?主要是农村银行。

bebloh是银行木马,大约早2009。它已经过几个竞争对手包括宙斯和SpyEye。它的目的是偷的钱从毫无防备的受害者就自己的银行账户,甚至没有人注意到。bebloh总是想出新的防御措施,避免AV产品,这一次是不同的。bebloh也被称为隐藏在内存中,创建一个临时的新的可执行文件在关机,删除重新感染系统后的文件说。

 

局部的问题

目前在日本,大多数垃圾邮件写在日本引发银行木马等恶意软件而不是像勒索。基于新闻稿(日本)日本警察厅去年2016年3月3日,农村银行和信用社银行已针对除了大银行。他们报告说,2015体现了国家的最大损失的银行木马总计约26亿5000万或2580万美元¥。与bebloh加入战局,日本可能面临更大的问题与银行木马。

目前,我们已经观察到ursnif和bebloh活跃在日本,与其他传统的银行木马一样的Zbot。从几乎为零的检测为2015前十一个月,bebloh开始竞选324检测日本十二月2015。检测达到2562月2016,个月以上的新闻稿发表相同。

每个人都是一个可能的目标

bebloh目标最终用户和企业员工的活动。我们看到的电子邮件发送到公司邮箱账户以及私人账户。不同的主题,如贷款、购物、和交付的个人问题,如人力资源专业科目。这种行为是一个更广泛的传播和感染。

翻译:“这封信是以提高安全电子签名发送。
这是为了通知您,我们已于2016年3月3日收到汇款。
电子签名(数字签名)”

翻译:“记录”的完整形象

图1。<em>样品的垃圾邮件发送到个人和团体</em>

新的程序

bebloh变化迅速和频繁的包装。一些版本的追随其拆包镂空工艺在它自己的进程的一步,而其他版本打开自己的记忆镂空工艺在合法程序之前(ex. explorer.exe/iexplore.exe).这使得恶意逃避文件检测作为检测模式需要跟上变化bebloh的封隔器。

一旦安装,bebloh连接到命令和控制(C&C)服务器,具有反应类型:自我更新,睡眠,和下载网页注入配置。如前所述,bebloh可以窃取信息和使用这种掠夺受害者的银行账户。

到目前为止,我们已经观察到tspy_ursnif,间谍软件监视浏览器、文件传输协议(FTP)的客户,和邮件客户端。注意,所有的银行木马程序运行在相同或类似的方式。

除了间谍软件,bebloh也下载bkdr_pushdo,一个广告的恶意软件。

与C和C服务器通讯时,我们看到使用它下载程序的URL的改变取决于C和C服务器的回复。我们观察到的样本中,有三个不同的下载网址在三个不同的天。 从URL的反应通常是加密的。但当解密,他们使用以下格式: CV {value}/r/n>DI/r/n>LD {URL}.


图2。解密通信从C&C服务器

现在,我们可以看到,bebloh是监测17种日本银行。这些包括村镇银行、信用合作社银行,网上银行,和大银行。针对小银行,攻击者希望他们的行动会被忽视。攻击者可以利用较小的银行较复杂的安全。这似乎已经在2016日本的银行木马景观。

趋势科技的端点解决方案如 趋势科技™安全, 智能保护 套房, 和 无忧™ 业务安全 可以保护用户免受这一威胁检测恶意文件,和垃圾邮件的信息以及所有相关的恶意网址拦截。