6月4日訊 暗網情報公司 Flashpoint 在2018年5月30日發布報告表示，臭名昭著的銀行木馬 IcedID 和 Trickbot 背后的僵尸網絡操縱者已經聯合起來，充分利用這兩種木馬騙取受害者現金。

兩大金融網絡犯罪“巨頭”背后勾結

非常棘手的問題是，Flashpoint 公司的研究人員發現感染了 IcedID 的計算機竟然在下載另一款惡意軟件 Trickbot，這是該公司在對 IcedID 惡意軟件的研究過程中首次發現了這種合作，IcedID 和 Trickbot 后面的僵尸網絡操縱者似乎已經將銀行受害者們置于雙重威脅之中。

惡意軟件之間通常相互“排斥”

Flashpoint 的研究主管維塔利·克雷茲表示，在意識到上述情況后，便開始思考和著手研究這種情況發生的原因，IcedID 和 Trickbot 的這種聯合應該是來自惡意軟件的操縱者，而不一定是開發者。 克雷茲表示，惡意軟件通常會攻擊受害者的數據，尤其是在競爭激烈的銀行業市場，例如 SpyEye 惡意軟件就已經被發現在感染機器上卸載類似的 Zeus 木馬。

Trickbot 木馬瞄準多國銀行

Trickbot 木馬 從2016年年中開始，Trickbot 已成為一款負責瀏覽器中間者攻擊（man-in-the-browser attack）的木馬病毒。該惡意軟件與 Dyre 銀行木馬具有多種相同屬性，被認為是 Dyre 的繼任者，針對金融機構發動攻擊。Dyre 銀行木馬2015年被俄羅斯警方“消滅”。Flashpoint 公司的研究人員認為，TrickBot 背后的網絡犯罪分子可能十分了解 Dyre 或簡單重用了 Dyre 的代碼。

Trickbot 木馬利用多個模塊（包括泄露的漏洞），針對各種惡意活動的受害者進行攻擊，如加密貨幣挖礦和 ATO 操作的受害者們。

2017年7月，TrickBot 銀行木馬背后的黑客正在對美國銀行發起新一輪攻擊。有僵尸網絡 Necurs 助力，TrickBot 新一輪攻擊活動也針對歐洲、加拿大、新西蘭、新加坡等國的金融機構。TrickBot是首個，也是唯一通過重定向計劃覆蓋24個國家的銀行木馬。

IcedID 木馬創建代理能力突出

IcedID 木馬于2017年被 IBM X-Force 研究團隊的研究人員所發現。這款木馬被認為具備多個突出的技術和程序，其中最值得注意的是該木馬創建代理的能力，其創建的代理可用于竊取多個網站的憑證，且主要針對金融服務。

克雷茲表示，IcedID 應該是直接通過電子郵件發送垃圾郵件，然后該惡意軟件就扮演了安裝 TrickBot 的下載器，隨后 TrickBot 又會在受害者的機器上安裝其他模塊。 這兩種惡意軟件結合起來，使用一系列方法和工具從受害者處竊取銀行憑證，包括令牌掠奪者、重定向攻擊和 web 注入。

Flashpoint 公司認為，這樣的攻擊極其復雜。在入侵者實施攻擊的過程中，還有其他的模塊可以讓入侵者深入了解受害者的機器，并擴展攻擊的廣度和范圍，進而使他們能夠從已入侵的機器中獲得額外的潛在利益源。 這種雙刃劍的威脅不僅為入侵帶來了一種新的工具力量，而且對于操控者而言，這種合作吸引了更多可開展高效賬戶接管行為的欺詐操控者。

Trickbot 和 IcedID 協作方式復雜

Flashpoint 公司表示，操控負責人可能監管著一個復雜的欺詐者網絡，這些網絡欺詐者們又連接了被這兩種木馬感染的機器。這個操控負責人被稱作 botmaster，負責操作僵尸網絡的命令和控制，以進行遠程程序執行。 同時，克雷茲表示，構成這個欺詐者網絡的不法分子可能只是通過別名相互認識，且都是各自領域內的行家。

Flashpoint 公司還在報告中表示，根據對 TrickBot 和 IcedID 僵尸網絡操作的語言分析和調查表明，這個設計僵尸網絡的互活動屬于一個小組織，該組織負責購買銀行惡意軟件、管理感染流、向項目相關人員（包括流量操控者、網站管理員和 錢騾子）支付款項以及接受洗錢收益等。

事實上，當受害者登錄到被感染系統上相關的銀行頁面時，botmaster 通過后端的“jabber_on”字段接受 XMPP 或 Jabber 通知。

聯合的惡意軟件操作具有執行賬戶檢查（或憑證填充）的功能。該功能可確定受害者機器的價值及其訪問權限，因此，惡意分子可對具有更高價值的目標進行網絡滲透，并利用其他被入侵的目標進行加密貨幣挖礦活動。

隨后，botmaster 可提取受害者的登錄憑證，從而獲取密保問題的答案以及電子郵件地址，然后將這些信息傳遞給真正負責操作的個人。同時，錢騾子們利用這些信息，在受害者所在地的同一金融機構開設銀行賬戶。他們利用該賬戶來接收欺詐賬戶清算所（ACH）和電匯，然后將收益轉發給僵尸網絡的所有者或中間人。

Flashpoint 公司還指出，基于 TrickBot 和 IcedID 僵尸網絡操控者機器共享的后端基礎設施，這些操控者們很可能將繼續展開密切的合作，以便將被盜賬戶變現。

目前，這種攻擊的攻擊范圍和已被盜取的金額尚不清楚。克雷茲預測，未來將有更多的僵尸網絡操控者們開始類似的合作，金融機構將面臨更多的威脅。