谷歌云服务被滥用:Telax网银木马借道传播
据外媒报道,某网络犯罪团队竟利用谷歌云平台(Google Cloud Platform)托管和传播一款网银木马,而其主要针对的则是巴西地区的葡语用户。在被Zscaler安全团队检测到之前,其活动已经存在一段时间,并且成功波及到了超过10万的用户。Zscaler分析师称,这项网络犯罪活动寄托于经典的社会工程学伎俩,旨在欺骗用户点击恶意的bit.ly链接。
为了愚弄用户访问这些链接,攻击者以提供免费折扣、代金券、甚至Avast和WhatsApp等免费版软件为名进行欺诈活动。
如果你在好奇之下点击了该链接,通常会下载到一个托管于Google Cloud上的.COM或.EXE的文件。再手贱运行的话,它就会给你的计算机装上一个下载器(payload download)。
这是一个安全专业术语,主要指那些会在今后下载安装更多恶意软件或病毒的一款计算机病毒。最终,它会给受感染的计算机安装上Telax网银木马。
Zacaler研究人员分析了v4.7版本的该木马,结果发现其仅针对巴西地区的网银客户。
该木马的组成非常复杂,它拥有一个模块化的架构、用到了命令与控制服务器来泄出偷窃到的数据、能够在32/64位系统上运行、检查反向工程环境的存在、以及用来捕获和绕过两步身份验证机制的工具。
Zscaler通过bit.ly短网址获取到了一些统计数据,并发现99%的用户访问均来自巴西。这表明该组织的木马计划非常完善且卓见成效。
该木马团队在10月19日到10月30日期间相当活跃,不过Google很快清理掉了托管在其云服务上的恶意文件。
至于流量的源头,99%来自Facebook,但也有少数几千个链接来自独立域名,其中多个均以来自Emas的Kleyb Maxbell这个名字命名(巴西城市)。