在亚马逊云的财务数据窃取恶意软件

关于Amazon Cloud的一些评论作为索尼成功攻击的平台。现在,亚马逊网络服务(云)现在正在用于传播财务数据窃取器。

证据表明,袭击背后的罪犯来自巴西,他们使用了几个以前注册的账户来发动感染。不幸的是,在我的正式投诉到亚马逊之后,等待超过12个小时,所有恶意链接仍然在线和活跃!

越来越多的罪犯使用合法的云服务来恶意目的。在大多数情况下,他们成功地滥用了他们。

亚马逊上托管的恶意软件带来了一堆不同的恶意代码,所有人都丢了到受害者’S机器和以不同方式行事:

  • root–寻找和否认正常执行4种不同的防病毒和一个名为Gbpluggin的特殊安全应用,并在该国的许多银行使用巴西在线银行。
  • 从巴西和2家国际银行窃取财务信息。
  • 窃取Microsoft Live Messenger凭据。
  • 窃取系统中的eTokens使用的数字证书。
  • 窃取有关CPU,卷硬盘号码,PC名称等的信息(此信息在登录会话期间向银行登录会议期间使用此信息以进行身份​​验证客户)。
  • exfiltrate以两种方式窃取数据:通过电子邮件到网络犯罪分子’使用Gmail帐户并通过特殊的PHP将数据插入远程数据库。
  • 最后,恶意样本受到称为谜保护仪的合法的反盗版软件保护。犯罪分子使用它,以使分析师更加努力的逆向工程过程。

KAV检测到所有样品,如:

  • trojan-downloader.win32.murlo.lib.
  • trojan-psw.win32.msner.a.
  • Trojan-Banker.Win32.Banz.iok.
  • Trojan-Banker.Win32.Banker.Blpm.
  • trojan-downloader.win32.homa.fgx.
  • trojan-banker.win32.banker.blbt。

我也希望所有恶意的链接都能很快被亚马逊停用。我相信合法的云服务将继续被犯罪分子用于不同种类的网络攻击。

云提供商应开始考虑更好的监控系统和扩展安全团队,以便在启用恶意软件攻击并从云启动。

作者:卡巴斯基实验室专家德米特里Bestuzhev。

分享这个