Bolek是一款新的银行木马,衍生自泄露的Carberp和Zeus源代码。恶意软件编写者混合了二者的代码,形成了一款全新的银行木马,目前正威胁俄罗斯银行的客户安全。
CERT Poland研究人员在5月中旬首次发现了该木马。他们在调查一次起源于波兰的钓鱼事件时发现Bolek和Carberp的KBot模块略有相似。美国安全公司PhishMe就Bolek的运行模式进行了一次综合调查,发现Bolek和Carberp确实存在明显的相似之处。
Bolek是较近出现在金融恶意软件市场上的新型威胁。
6月初,Dr.Web和Arbor Networks安全厂商展开了调查,Arbor报告着重研究Bolek的C&C服务器通信,而Dr.Web则主要关注Bolek的运行模式以及同Carberp甚至原始的Zeus银行木马的相同点。
Dr.Web报告指出,该木马完全可以应对当前银行的生态系统,它通过注入网络浏览器进程从在线银行应用中获取登录凭证,截取用户界面,捕获网络流量,记录键盘输入,或者创建本地代理服务器来获取感染机器中的文件。
Bolek可以攻击Microsoft Internet Explorer、Google Chrome、Opera和Mozilla Firefox,并且自带嵌入式的密码抓取工具Mimikatz。
Bolek与Carberp和Zeus的相似点
Bolek仿照Carberp的部分,包括一个自定义的虚拟文件系统,存储那些用于逃避安全检测软件的各种操作文件。对应Zeus,Bolek主要借鉴的是其强大的注入机制,使其可以成功入侵浏览器进程,并在用户访问在线银行时控制整个网页。
另外,该木马可以感染Windows32位和64位系统,一旦收到远程服务器指令,会通过RDP(远程桌面协议)打开设备与攻击者的反向连接。
Bolek也可以通过感染其他文件进行传播
Dr.Web的研究人员较感兴趣的并不是Bolek的这些致命性的功能。Bolek感染后,其服务器会向木马发送一个命令,该命令可以激活类蠕虫自我传播机制。这使得该木马可以传播到相同文件系统或优盘的其他文件中。它可以感染32位或64位可执行文件,这些文件一旦移动到其他设备中便会帮助Bolek传播。
研究人员称:“Trojan.Bolik.1的主要功能是窃取机密信息,Trojan.Bolik.1的功能和架构都十分复杂,因此Windows用户一旦被感染,将会造成严重后果。”
