Zeus木马从英国银行帐户盗走100万美元

CNET科技资讯网8月11日国际报道 安全研究人员10日表示，英国民众与商家今夏因电脑感染木马病毒，促使他们登入自己的银行帐户，而后帐户内的钱被暗中转往他国的骗徒手中，总损失金额超过100万美元。

根据M86 Security公布的白皮书，一家未具名的金融机构就有约3,000个帐户被黑。这种多层次的诈骗手法，利用一种新版的Zeus键盘侧录和密码盗用木马，目标锁定使用各大浏览器的Windows电脑，并通过toolkits回避银行网站使用的反诈欺系统。

在线诈骗流程

M86 Security技术策略副总Bradley Anstis告诉本站，要求双重验证，如提供密码加ID凭证的银行网站，也难挡这类攻击。因为恶意软件在受害者登入网站后，即狭持浏览器。Anstis说：“这种最新版的Zeus，是专门针对在线银行业务。”并且将恶意软件带往更精深、复杂的技术层次。这种木马用加密的通讯，联络受害电脑与发出指令的服务器，和执行非法的在线转帐。M86 Security正与执法单位合作。

这一波诈欺的手法，似乎与1年前Finjan通报的、锁定德国银行顾客的URLZone银行木马类似。这次诈欺的运作过程是：

受害者的电脑先感染到新版Zeus木马，可能是造访带有该恶意软件的合法网站，或是进入某个为散播该软件特别设置的网站，或是合法网站的广告内含恶意软件。恶意广告一向是最主要的攻击来源，包括Yahoo的Yieldmanager.com。

恶意软件重导浏览器至某个套件，若非Eleonore Exploit Toolkit就是Phoenix Exploit Toolkit,，然后通过电脑的某个漏洞，投入木马程序。Eleonore Exploit Toolkit可利用Adobe Reader、Java和IE等软件的漏洞。

Anstis说：“感染初期是Exploit Kit利用几个我们在报告中列出的漏洞，破坏使用者的电脑，其中之一是影响IE 6和IE 7的IE漏洞。然而，那只是能被用在这种初期感染的6、7个漏洞之一。 Exploit Kit会一一测试受害者的电脑是否有那些漏洞，以求成功感染。”

报告指出，有高达28万台Windows电脑被感染，但也有约3,000台Mac和300台PlayStation、7台任天堂Wii被纳入该僵尸网络，执行Exploit Kit。木马联系的中控服务器位于东欧。

当使用者登入其银行网站，木马便将登入的ID、生日和社保号码等信息，传给中控服务器。一旦使用者进入银行网站的在线交易页，木马便会收到一组新的JavaScript程序代码，替换银行原本在交易表格使用的JavaScript。

使用者在合法网页进行帐户交易的同时，木马也在背后操纵该笔交易。首先，它会检查帐户余额，决定窃取的金额限度，避免触发自动诈欺侦测警报。帐户的钱先被转到其他的人头帐户，然后再转到由诈骗者控制的外国帐户。

Anstis拒绝透露受害的银行。他说：“有趣的是，这家公司有提供免费的安全软件。若非受害的顾客没有接受他们的好意，就是那套软件根本无效。”