【病毒木馬】Gozi銀行木馬的“黑盒遊戲”:你永遠不知道郵件附件有什麼

360安全衛士發表於2019-07-31

銀行、證券、信託、國際貿易……大眾眼中的金融外貿行業常常是多金、高階的形象,而一旦遭遇安全威脅損失也遠超其他行業。近日,Gozi銀行木馬藉助Pushdo垃圾郵件殭屍網路在全球氾濫之際,360安全大腦就監測到國內部分外貿、金融行業計算機也已慘遭Gozi銀行木馬毒手。7月30日上午,360安全大腦攔截Gozi銀行木馬攻擊達300餘次,威脅遠超想象。不過,已安裝了360安全衛士的使用者則無需擔心,360安全衛士搭載的郵件保護功能,可第一時間防禦和查殺Gozi銀行木馬,守護使用者安全。


Gozi銀行木馬來勢洶洶郵箱附件仍是“中毒重災區”


眾所周知,在外貿、金融行業,跨國物流是白領們的工作日常,收件箱每天收到雪花般飛來的國際快遞單郵件。而360安全大腦經過監測發現,此次氾濫的Gozi銀行木馬,就是通過日常郵件,偽裝成極具迷惑性的DHL快遞單的釣魚Excel文件進行傳播。使用者一旦中招,木馬成功入侵進出口貿易企業、大型金融機構計算機系統,就能竊取電腦中儲存的銀行帳戶、瀏覽器憑證等機密資訊。


值得一提的是,此次Gozi銀行木馬從海外蔓延至國內,與其藉助Pushdo垃圾郵件殭屍網路傳播脫不開關係。所謂Pushdo垃圾郵件殭屍網路,其實是一個由數量龐大的計算機構成的能夠自動對外傳送釣魚郵件的網路,藉助這一殭屍網路,不法分子可將已感染機器變為垃圾郵件的分銷點,以此控制更多的機器。

【病毒木馬】Gozi銀行木馬的“黑盒遊戲”:你永遠不知道郵件附件有什麼

圖1 虛假的DHL釣魚文件 

從360安全大腦捕獲到的攻擊活動和溯源分析,此次Gozi銀行木馬攻擊的主要手法就是通過文件中的惡意巨集程式碼下載執行病毒。當外貿、金融行業的白領像往常一樣開啟郵件附件中的檔案並啟用巨集時,釣魚文件就開始向計算機釋放Gozi銀行木馬和Pushdo垃圾郵件投遞器,白領電腦中儲存的銀行帳戶、瀏覽器憑證等敏感資訊都將被竊取一空,同時由於Pushdo垃圾郵件投遞器的存在,這臺中招的電腦還將成為傳播病毒的“殭屍機”,與白領有郵件業務往來的使用者,都可能慘遭病毒入侵,這也是Gozi銀行木馬能夠迅速在全球肆虐的原因之一。


【病毒木馬】Gozi銀行木馬的“黑盒遊戲”:你永遠不知道郵件附件有什麼

圖2 Gozi木馬攻擊計算機的程式樹


扒皮Gozi黑歷史,感染全球百萬電腦  開發黑客被判95年監禁


說起Gozi銀行木馬的黑歷史,可以追溯到2007年,它被認為是迄今為止發現存在時間最長的銀行木馬之一。在過去的十餘年裡,Gozi銀行木馬威脅從未消散,雖攻擊目標主要為各國的大型銀行,程式碼卻一直更新迭代,像野火燒不盡一般,多次上演安全威脅。值得注意的是,Gozi發展歷程中曾多次洩露其原始碼,這使得Gozi程式碼庫中的強大功能早已被整合到其他惡意軟體中,曾導致北美銀行被盜數百萬美元的木馬病毒GozNym,就與Gozi脫不開干係。


病毒肆虐臭名昭著,開發Gozi的黑客還因其被判95年監禁。2013年,俄羅斯三名黑客被指控利用Gozi銀行木馬感染全球超百萬臺計算機,因涉嫌陰謀、銀行欺詐、開發Gozi軟體入侵電腦並把這種軟體賣給黑客,盜取銀行賬戶存款等多項罪名,其中一人更陷入高達95年的牢獄懲戒,直接創下了黑客刑期的最高紀錄,足可見Gozi銀行木馬威脅的嚴重性。

【病毒木馬】Gozi銀行木馬的“黑盒遊戲”:你永遠不知道郵件附件有什麼

圖3 開啟文件時360安全衛士防禦住Gozi木馬的攻擊


作為全球最大的分散式智慧安全系統,360安全大腦一直持續監測各類高危病毒。針對近日抬頭的Gozi銀行木馬,360安全大腦提醒廣大企業使用者和個人做好防護,並給出如下安全建議:


1、切記不要輕易點選陌生郵件,更不要隨意點選下載不明來源的附件;

2、企業郵件伺服器可嘗試部署郵件安全閘道器、升級安全策略,將此類郵件拉入垃圾郵件黑名單等措施實施防禦;

3、提高安全管理意識,及時為系統和應用軟體打補丁,關閉不必要的埠和共享檔案;

4、前往weishi.360.cn,安裝並開啟360安全衛士的郵件保護功能,能夠在第一時間攔截和查殺該木馬。


相關文章