|
||||
9月17日,深圳華為一名員工朱先生將工資轉入餘額寶時,遭遇網銀劫持木馬,七千多元工資不翼而飛,目前,朱先生已報警,並通過微博私信電腦管家尋求幫助。經騰訊電腦管家連夜聯合偵查,對該木馬傳播途徑和做案手法已經查清。
據警方通報,該木馬是網銀大盜木馬最新變種“弼馬溫”,通過視頻站點進行廣泛傳播,並通過雲端數據自動更新配置獲利賬號,可以在用戶毫無感知情況下對用戶網銀支付或充值行為進行劫持。現已感染至少50萬用戶電腦,為史上最凶的網銀大盜木馬,在此,警方特別提醒廣大網民注意防范。目前管家已經可以查殺防御該病毒。
“弼馬溫”網銀木馬作案手法解析
騰訊電腦管家安全實驗室反病毒工程師朱科錠介紹,“弼馬溫”木馬能夠毫無痕跡的修改支付界面,使用戶根本無法察覺。“弼馬溫”通過不良網站提供假QVOD下載地址傳播,當用戶下載這一掛馬播放器文件安裝後就會中木馬,該木馬運行後即開始監視用戶網絡交易,屏蔽餘額支付和快捷支付,強制用戶使用網銀,並借機篡改訂單,盜取財產。
從演示視頻中可以看到,木馬實時監控用戶網銀的交易過程,當發現有交易發生的時候,會將用戶的快捷支付給屏蔽掉,讓用戶只能使用網銀進行交易。當用戶在網銀進行最終確認的時候,可以看到用戶的交易金額為1元,但是實際需要支付金額卻是木馬設置的最低限額900元。如果點擊確定,那麼這900塊錢便會乖乖的輸入木馬作者的賬戶中了。
木馬獲利分析:已形成黑色產業鏈
此前網絡上也出現過網銀劫持木馬,但基本上都是通過點對點進行傳播和擴散,影響相對較小。此次“弼馬溫”網銀大盜最大的特點是通過視頻點進行雲傳播,偽裝在播放器中,當用戶下載安裝播放器之後木馬也隨之啟動並在用戶電腦上常駐。並且傳播該木馬的視頻站點不止一個,是一個有規模的傳播聯盟,可以在短時間內對木馬進行大范圍的傳播,達到最大的危害,並形成了一條獲利的黑色產業鏈。
在這條黑色產業鏈中木馬的制作團隊和木馬的買家成為核心角色,制作團隊會負責木馬的持續更新和與安全軟件的對抗,並根據買家需求進行功能調整。買家購買木馬之後需要找到量商,也就是有傳播渠道的人付費進行木馬的推廣,並按照推廣量計費。被盜取的錢會被直接衝到木馬買家指定的充值平臺上,盛大、銀聯、安付寶、支付寶等網銀平臺均在此木馬攻擊范圍內。
木馬可以通過雲端控制,直接指定自己的獲利賬號及對應平臺。盜取成功之後木馬買家會收到通知並登陸相應賬號對盜取的錢進行消費,他們會選擇游戲點卡平臺進行消費,因為這是一個洗錢的好渠道,盜取的錢可以在這類平臺中快速的完成錢--點卡--錢的轉換,當然點卡購買平臺會在這個過程中收取手續費,最終這筆錢回到了木馬買家的銀行卡上,並且因為中間有游戲點卡作為中轉中介,使得對這筆錢的追查非常困難,點卡平臺也就在客觀上充當了一個洗錢工具的作用。
根據統計,目前已感染“弼馬溫”的網民有50萬,是歷史上感染量最大的網銀木馬。如果按照2%感染用戶且使用網銀來計算的話,那麼每感染100個用戶預計造成至少1800元的損失,按照全國50萬的感染人數進行統計則預計網民損失接近千萬。
全國范圍感染,已致50萬網民感染
“網銀大盜”全國感染分布(由騰訊電腦管家監測提供)
根據騰訊電腦管家監測中心數據,全國廣東、北京是本次木馬感染最嚴重的地區,其次為江蘇,浙江,上海,山東,湖南等地區,西部地區感染量比較低,全國所有地區都有攔截記錄。第一個感染的用戶來自於上海地區。
騰訊電腦管家安全專家邵付東介紹,“網銀大盜”木馬能夠在用戶無感知情況下篡改支付界面,大大提高劫持成功幾率。根據統計,目前已感染“網銀大盜”的網民或已超過50萬,是歷史上感染量最大的網銀木馬。目前騰訊電腦管家已經可以查殺防御該木馬。