TSPY_BANKER木马病毒攻击韩国银行

趋势科技的安全专家检测到了一个名叫TSPY_BANKER.YYSI的新银行木马;它的攻击目标主要是韩国各大金融机构。TSPY_BANKER.YYSI是BANKER恶意软件家族下属的一个银行恶意软件;它会把用户重定向到一个受攻击者控制的网站上。

受影响的金融机构有:

IE暗藏木马

只有当受害者使用IE浏览器访问银行网站时,TSPY_BANKER.YYSI才可能把受害者重定向到一个钓鱼页面。到这里可能会有很多人和我一样感到迷惑了,用IE浏览器会受到攻击者攻击,那我们完全可以使用其他的浏览器来避免呀,没必要非得在一棵树上吊死。这就要说说韩国的法律了,它规定用户在访问在线银行服务和进行网上购物时必须使用IE浏览器(怪不得呢,茅塞顿开)。 所以韩国大约有75%的用户都是使用IE浏览器。

一旦受害者感染了该木马病毒,那么攻击者就可监视受害者所有的网络活动,并且当受害者访问特定的金融机构网站时,攻击者会将其重定向到受他们控制的钓鱼网站上。

趋势科技的安全专家还发现TSPY_BANKER.YYSI会感染韩国一个较流行的搜索引擎。当用户访问搜索引擎网站时,会弹出一个受攻击者控制的金融机构网站链接。

一个比较有趣的事:

再次利用已打补丁的漏洞

研究者发现攻击者利用的漏洞主要是:两个IE漏洞(CVE-2013-2551、CVE-2014-0322)、一个微软漏洞( CVE-2014-6332 ),但值得一提的是这三个漏洞都已被打上了补丁。 专家们发现这次的漏洞代码和之前的Sweet Orange(甜橙)漏洞代码很相似。