IBM的X-Force安全團隊於揭露一個新的金融木馬程式Shifu,該程式的命名源自於日文的「小偷」,因為它目前鎖定的是14家日本銀行。雖然Shifu的攻擊目標也包括了歐洲的電子銀行平台,但迄今只在日本發現攻擊行動。
根據IBM的分析,Shifu是支非常精密的金融木馬程式,最大的特色來為融合了許多已知金融木馬的功能與模組,成為一金融木馬怪獸,例如它使用了Shiz木馬的網域產生演算法、Corcow與Shiz的密碼與認證竊取機制、Zeus的反研究技術、Gozi/ISFB的隱藏技術、Dridex的配置、Conficker蠕蟲的系統復原點清除技術,也借用了Dyre以自我簽署憑證執行安全傳輸的方法。
換句話說,Shifu具備了反研究、反虛擬機器,以及反沙箱等工具,還有瀏覽器及網頁注入解析器,擁有鍵盤側錄能力,可攫取螢幕畫面與憑證,並能針對終端進行分類,監控有利可圖的程式,也有遠端存取工具與殭屍控制模組。
該木馬在感染使用者系統之後,便會竊取各種金融資訊,從密碼、憑證到認證權杖,進而掌控使用者的銀行帳戶。若是受到感染的裝置為讀卡機,則能取得加密的金融卡資訊。此外,它還能辨識受到感染的裝置是否為收銀機系統(POS),確認後便會部署額外的「記憶體刮除」外掛程式來蒐集金融卡資訊。
Shifu的目標還包括以Java為基礎的電子銀行平台,在相關平台上掃描權杖檔案,或是尋找銀行商業用戶的數位簽章憑證。除了木馬能力外,Shifu亦有防毒機制,得以避免已到手的系統被其他的惡意程式侵犯。 X-Force團隊警告,即使Shifu現在只攻擊日本的銀行,但它所具備的擴散潛力不容小覷。(編譯/陳曉莉)