網路悍匪劫持巴西網銀長達5小時，數百萬用戶中招

傳統的網上銀行劫持和現實中的銀行搶劫並沒有多大的區別。匪徒闖進銀行，搶走財物，再離開銀行。但是，就是有這樣一個黑客組織不走尋常路，他們劫持了一家巴西銀行的DNS並將所有的網上銀行業務指向偽造的頁面，從中獲取受害者的信用卡信息。

2016年10月22日，這伙犯罪分子在3個月的精心準備之下，成功控制一家巴西銀行所有業務長達5個小時。該銀行的36個域名，企業郵箱和DNS全體淪陷。這家建立於20世紀早期的銀行在巴西、美國、阿根廷和大開曼擁有500個分行 ，總計擁有500萬用戶和250億美元資產。

卡巴斯基實驗室的研究人員 Fabio Assolini 和 Dmitry Bestuzhev 發現，這伙網路犯罪分子已經將同樣的手段炮製到全球範圍內的另九家銀行，但他們並未透露是哪家銀行遭遇了攻擊。

在研究初期，此次攻擊看上去就是普通的網站劫持，但是兩位研究者發現事情並沒有這麼簡單。他們認為犯罪分子使用的攻擊很複雜，並不只是單純的釣魚。攻擊者用上了有效的SSL數據證書，並且還用Google Cloud來提供欺詐銀行服務支持。

攻擊的5小時里發生了什麼事情？

10月22日下午1時，巴西的一家銀行網站受到攻擊，持續了5個小時。

DNS提供商Registro.br今年1月份的時候曾修復過一個CSRF漏洞，研究人員認為攻擊者可能利用了這一漏洞——但也可能是採用向該提供商發送魚叉式釣魚郵件來滲透。

Bestuzhev說：

每一個訪問該銀行網站的人都會獲得一個內含JAR文件的插件，而犯罪分子早已掌握了網站索引文件的控制權。他們可以利用iframe框架將用戶重定向到一個提前設好惡意軟體的網站。

黑客甚至可能將自動櫃員機ATM或銷售點系統的所有交易重定向到自己的伺服器，收集那個周六下午受害者們使用信用卡的詳細信息。

在這5小時的時間裡，仿冒網站會向所有訪問者提供惡意軟體，可能有數萬甚至上百萬全球範圍內的用戶受到了這種攻擊。該

惡意軟體是一個隱藏在.zip文件中的JAVA文件，偽裝成了銀行安全插件應用Trusteer，載入在索引文件中。這款惡意程序的作用是禁用受害者電腦中的安全產品，而且還能竊取登錄憑證、郵箱聯繫人列表、郵件和FTP身份憑證。

研究員在對惡意軟體的排查中發現了8個模塊，其中包括銀行URL的配置文件、更新模塊、用於Microsoft Exchange，Thunderbird以及本地通訊錄的憑證竊取模塊、網上銀行控制和解密模塊。據研究員稱

所有的模塊都指向加拿大的一個C&C伺服器。

這些模塊中有一個叫做Avenger（復仇者）的模塊，通常是用於刪除rootkit的合法滲透測試工具。但在這次攻擊中，它被用於刪除運行在受損計算機上的安全產品，通過Avenger，研究員斷定全球範圍內還有9家銀行受到了相同手法的攻擊。這些金融機構可能是來自巴西、美國、英國、日本、葡萄牙、義大利、中國、阿根廷與開曼群島等國家地區。

釣魚成功率極高

此外，在這5個小時的時間內，據說還有一些特定的銀行客戶收到了釣魚郵件。隨著研究的深入，研究員發現，當時銀行的主頁展示了Let』s Encrypt（一家免費的憑證管理中心）頒發的有效SSL證書——這其實也是現在很多釣魚網站會用的方案，前一陣FreeBuf安全快訊還談到，過去幾個月內，Let』s Encrypt就頒發了上千份包含PayPal字元的SSL證書。

在本次事件中，這家銀行的36個域名全部都被攻擊者控制，包括線上、移動、銷售點、融資和併購等功能的域名。除此之外，攻擊者還控制了企業郵箱設施，為了防止銀行方面通知受攻擊用戶、註冊主管和DNS供應商，攻擊者關閉了郵箱服務。值得一提的是，另外巴西銀行沒有啟用Registro.br的雙重認證方案。這五小時內的釣魚成功率是可想而知的。

這伙犯罪分子想要利用這次機會劫持原有的銀行業務，同時可以利用軟體從他國銀行盜取資金。

研究人員在銀行域名中載入了釣魚頁面，這些釣魚網頁會誘導受害者輸入信用卡信息。

其實，針對該巴西銀行的陰謀早在Let』s Encrypt註冊成立的五個月之前就已經開始醞釀（所以Let』s Encrypt順理成章成為不錯的選擇）。研究員還發現，攻擊者曾用巴西註冊主管的名義向該銀行傳播釣魚郵件。這很有可能是攻擊者用來運行銀行DNS設置的渠道; 憑藉這一點他們就能將銀行所有的流量全部重定向到他們的伺服器。

研究員稱這是他們第一次觀察到如此大規模的攻擊。

假想一下，如果一名員工被釣魚成功，攻擊者就可以訪問DNS表，一旦DNS受犯罪分子控制，那麼後果不堪設想。

研究人員強調，確保DNS基礎架構的重要性，以及應當採用大多數註冊商所提供的安全功能（如雙重認證）。

*參考來源：threatpost，FB小編bimeover編譯，轉載請註明來自Freebuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！