安全研究员在周二警告,有一种不肖程序会自动通过弹出式视窗安装到电脑里,并利用“说明档”功能的漏洞逃过信息加密,在使用者造访遭锁定的近50家银行网站时窃取密码。
安全研究员Marcus Sachs表示,遭锁定的网站包括了一些知名的大型银行,如花旗(Citibank)、巴克莱(Barclays Bank )、德意志(Deutsche Bank )。
“这个程序一但认出你到了这些遭锁定的网站,就开始记录你的键盘输入(keystroke )。”专门监控网络威胁的“互联网风爆中心” (Internet Storm Center )总监Sachs 表示。虽然金融机构的网站都会在浏览器内使用加密技术以保护登录的信息,但是木马程序(Trojan hose program)可以在浏览器加密之前就取得信息。“在键盘与电脑系统间的信息,浏览器无法加密,浏览器的加密是在信息进入网页之后。”
Sachs 表示,这只木马程序是在“大型网络公司的某个员工”电脑上首次发现的。受害者显然是从恶意的弹出式视窗广告上中的毒,这只程序利用IE的说明档(helper)漏洞将自己安装到使用者的电脑上。这次的例子里,由于该电脑的安全设定而让安装失败。微软表示,在发布修补程序(patch )之前,IE使用者可以把安全等级设定到最高。
另还有两个最近发现的IE漏洞,微软也是尚未推出修补程序,这两个漏动也都各别让黑客拿来利用。其中之一在上周感染了许多的网站,而另一个则在本月初出现,会在受害的电脑上安装工具列,并启动弹出式广告。而这次所发现的木马程序和上周所发现的网站感染的攻击不一样,但是可能和一些散播间谍软件(spyware )的技术相结合。
互联网风爆中心的研究员对网络公司所提供的“img1big.gif ”文件进行研究。安全专家对该程序进行“反向工程”(reverse-engineered)之后发现到,该程序锁定了一堆的银行,并企图窃取这些银行客户的帐号信息。
这只程序显示出近来电脑病毒及远端木马(或称RAT ,remote-access Trojan)的一种趋势:攻击者为钱而来。四月间,安全专家警告, “殭屍网络”(bot networks)──被用来当殭屍傀儡的家用电脑所构成的庞大网络,比一些高危险的病毒如杀手(Sasser)或疾风(MSBlast)都还要危险,因为它们可能会被用来窃取金融信息,或者寄发一些无法追踪的垃圾邮件。
“过去,最常用来搜集金融信息的方法是,通过类似尼加拉瓜电子邮件诈骗的手段。”防毒软件公司Symantec的安全回应中心资深经理Oliver Friedrichs表示。过去几个月以来,赛门铁克的分析师已经研究了最近这些木马程序的可能威胁。
这只木马程序用了。gif 的副档名,所以看起来很像是一个压缩格式的图档。但实际上里面有两个程序:一个是会偷偷窃取使用者名称与密码的浏览器说明档,另一个则是会记录受害电脑键盘输入的“偷装文件”。
第一个文件是利用一个IE的老漏洞自我执行,第二个文件则是利用多数浏览器所共有的“说明档”(helper files)功能来拦截信息。Sachs 表示。
“在信息经过浏览器之前,可能会由说明档处理。”他表示,“这种做法的真正聪明之处在于,它利用了所有浏览器都会用的说明档功能,并逃过了加密。”
木马程序一旦取得金融信息,就利用网络服务器上所存放的一个程序将信息加密,并将信息传回给攻击者,Sashs 表示,攻击者可能在南美洲。
在公开警告浏览器中的漏洞可能让攻击者得以安装恶意程序之后,安全专家近来频频警告微软IE中的一些漏洞。但微软尚未修补好这些漏洞。
Sachs 表示,虽然最新的程序利用已知的漏洞而感染Windows 电脑,但说明档的攻击利用的是一个所有浏览器都有的功能,而不是漏洞。