四岁小女孩失踪案与其母亲裸照新闻，被殭尸网络利用

Sammi888

趋势科技 接获报告指出，近来出现一波源自墨西哥的新的网络钓鱼攻击。这个攻击利用了一则具争议性的新闻，新闻内容指称一名据称失踪的四岁小女孩被发现陈尸于自家的房间内。经过调查后，我们发现这波攻击来自一个墨西哥的殭尸网络/傀儡网络，企图盗取使用者的银行往来相关数据。
    拉丁美洲地区盛行使用在线金融交易，而这波攻击是网络犯罪份子以在线金融交易小区为目标，致力于侵占金钱与敏感财务资料的另一案例。
    追踪该则新闻的使用者在进入网页便沦为攻击的猎物，网页内有一则相关Paulette的文章，并宣称会提供Paulette母亲的裸照。当使用者进入这个网页后，会看到一个假的对话跳窗，要求使用者下载及安装Adobe Flash Player。  

图1、假网站中的新闻内容屏幕画面   
   
图2、假对话窗口的屏幕画面
   点击开始（Run）就会下载档名为video-de-la-mama-de-paulette.exe的档案，这个档案实际上是傀儡殭尸网络的客户端程序，经Trend Micro趋势科技侦测出为TSPY_MEXBANK.A。
   在调查过程中，我们进入了殭尸网络的控制中心（command-and-control，简称C&C）接口了解其管理功能。我们也进入了管理接口来亲眼目睹这个新傀儡殭尸网络完整的功能。
  
图3、C&C 登入页面
   
图4、C&C 主目录     
    殭尸网络的目录显示出傀儡殭尸的总数及受入侵的计算机列表。傀儡殭尸的列表列出了客户的身份证号码及姓名，以及在殭尸网络中进行了那些活动。功能包括可开启或关闭傀儡殭尸，在傀儡殭尸上启动netcat（可被用来当做后门使用，功能强大的网络工具），以及从殭尸网络中移除傀儡殭尸等的选项。
  

图5、傀儡殭尸目录  
    新发现的殭尸网络的功能相当广泛，和其它较早出现，业已有相当发展规模的殭尸网络家族不相上下。每一种功能都被安置在独自的模族中，让殭尸网络管理者可个别逐一地进行设定。  
    在殭尸网络所提供的功能中发现网址嫁接（pharming）模族也毫不令人感到意外。就如网络钓鱼模块的屏幕画面所示，这个特殊的殭尸网络目标为墨西哥的使用者，特别是当地PayPal的网站，及该国内最大的银行Bancomer。

图6、网址嫁接模块  
   除此之外，龙舌兰殭尸网络（Tequila botnet）也可从不同恶意URL中，透过HTTP或FTP来下载档案。这个新家族曾被发现投掷ZBOT的数据偷盗及假防毒软件恶意软件。
   不过一般消费者并非是这个殭尸网络幕后网络犯罪份子剥削的唯一对象，AdSense模块会让网站与网站的广告重复地被载入。事实上，网络犯罪份子利用此模块来提升网站的交通流量，增加广告网络如Google谷歌的AdSense所支付的费用。
   
图 7、AdSense模块  
   除了被发现出现在恶意网站中外，龙舌兰殭尸网络（Tequila botnet）也可透过如USB装置及MSN Messenger等进入系统。殭尸网络会传送夹带了档案的讯息（以附加文件之类的方式），或恶意软件的联结。


图8、MSN Messenger繁衍模块  
    由于殭尸网络被破获，其控制中心伺服主机的地点已不存在。但如果其开发者开始新的攻击并散布新档案，傀儡殭尸的数量将会再度增加，也会让开发者在未来再去为殭尸网络创作新的模块。

贴文来源：TrendLabs | Malware Blog - by Trend Micro “Tequila Botnet” Targets Mexican Users

safeworld

热门话题网页慎入。。。

紫雪纷纷

病毒也关注热点
老外也开始玩"门"病毒了

s0s020000

我是来看“果”照的

OpenSourse

这东西也来了

jackli1977

不奇怪，这就是用到了社会心理学

Ivan.xue

“果”照的魅力果然大。。。

cghzzz

果照呢

lostapple

我晕
几天前我似乎遇到了这种状况
开机后就要我安装Adobe Flash Player
当时 我点击了放行。。。
今天才看到这个报道 不过我似乎没有悲剧
红伞C D盘查了一遍 没发现异常
COMODO也没一个劲儿的提示
偶唯一干的坏事 就是进了次 XXOO网站  

ghostein

回复 3楼 紫雪纷纷  的帖子

没错，呵呵
反过来想想，趋势也不正是么？
这可比周老板靠四处找骂来吸引眼球，要professional多了~~