156期报告汇总
安天发布《Danabot 银行木马分析报告》
近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时发现 一种名为 Danabot 的银行木马开始活跃。 DanaBot 银行木马初始被发现时是针对澳 大利亚和欧洲银行,但新的研究表明目前 其活动也开始针对美国银行。
DanaBot 是一种用 Delphi 编写的模块 化的银行木马程序,试图从网络银行网站 窃取账户凭据和信息。它会通过各种方式 来窃密,例如截取活动屏幕截图,窃取表 单数据或记录用户击键等。然后收集这些 被盗信息并将其回传命令和控制服务器。 研究人员首次发现 DanaBot 时,一个小组 正在使用它来攻击澳大利亚银行。随着时 间的推移,其他攻击者开始使用 DanaBot攻击其他地区。随着从流量中发现更多不 同 ID 的攻击者,研究人员推测 DanaBot 可能已经被公开出售或者租用,卖家可以 从中获取利润。此次攻击北美的活动是通 过垃圾邮件传播,邮件伪装成来自 eFax 的传真,提示用户下载 Word 文档,该文 档是一个包含恶意宏代码的文档,文档会 引诱用户点击启用宏的按钮,之后会下载 DanaBot 和其他恶意代码,研究人员发现, 新的 DanaBot 活动的目标包括美国银行、 富国银行、道明银行、皇家银行和摩根大 通。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。