注册
登录
| 关键词: 木马 Sinowal 已经 帐户 信息 受害者 俄罗斯 数据 网上银行 金融机构 |
RSA FraudAction(http://www.rsa.com/)研究实验室根据对Sinowal木马(也称为Torpig和Mebroot)进行的追踪与研究,得出了令人吃惊的成果。 结果表明:Sinowal木马可能是欺诈者曾经创建的最普遍和最先进的犯罪软件。 RSA FraudAction发现,在可追溯到2006年2月的日子里,Sinowal木马已经破坏并窃取了大约30万个网上银行帐户的登录凭证,以及数量相同的信用卡和借记卡。其他如电子邮件和众多网站的FTP帐户等信息,也受到了损害和盗窃。 Sinowal木马一直是业内谣言和猜测的话题,但关于其来源地信息却知之甚少。人们通常更了解其他木马程序的来源。 有人称,Sinowal木马是俄罗斯网上团伙拥有和操纵的,即臭名昭著的俄罗斯商业网(RBN) 。数据证实了Sinowal木马在过去确实与RBN有着极为紧密的联系,但研究表明,目前Sinowal木马的托管设施可能已经发生了变化,不再与RBN有关。 那么,为什么Sinowal木马对于连接互联网的用户来说,是最为严重的威胁之一? 简而言之, Sinowal木马在没有任何痕迹的情况下感染受害者的电脑。Sinowal木马背后的犯罪分子不仅创建了极其先进的恶意犯罪软件,而且还维护着一个极其隐蔽和可靠的通信基础设施。这个基础设施已经让Sinowal收集并传送了将近三年的信息。此外,盗窃的数据在一个组织良好的数据仓库中得到了系统的组织。 除了其漫长的生命期外,Sinowal木马也有着巨大幅度的演变--它的攻击率从2008年的3月到9月有了急剧的攀升。 Sinowal木马的创建者会定期发布新的变种,并登记成千上万的互联网域名作为其通信资源。这样做的目的是为了能使木马不间断地掌控受感染的计算机。下图显示了Sinowal木马的创建者创造新变种的速度。 如同其他木马,Sinowal木马使用了HTML注入功能,有效地将新的网页或信息字段注入到受害者的互联网浏览器--而这些注入的内容对受害者来说,看起来像是合法的网页。比如,Sinowal木马能够假冒对不知情的受害者提示输入个人信息,如社会安全号码和其他详细信息。Sinowal被全球超过2700个特定网址所触发,这意味着当用户访问成千上百个全球金融机构网站时,这个木马就会迅速启动。 Sinowal窃取的庞大数据量令人惊讶 仅需一个犯罪集团操纵一个木马程序,就已经能够感染数十万台电脑,并能损害及窃取用户的帐户信息。 损害的数据属于世界许多地区内数百家金融机构的客户。我们已经看到受影响的金融机构有北美(美国和加拿大),欧洲(英国,法国,西班牙,德国,荷兰,意大利和其他国家),亚太(澳大利亚,中国,马来西亚和其他国家)以及一些拉丁美洲国家。然而,我们发现,并没有俄罗斯帐户受到Sinowal的损害。 仅在过去的6个月中,Sinowal木马已经破坏并窃取了超过10万个网上银行账户的登录凭证。下图显示了Sinowal损害网上银行帐户的速度。 原文标题:One Sinowal Trojan + One Gang = Hundreds of Thousands of Compromised Accounts 原文地址:http://www.rsa.com/blog/blog_entry.aspx?id=1378 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
