文/ iThome 陳曉莉 (編譯) 2010-08-09
駭客透過第二版Zeus殭屍網路打算在英國進行金融詐騙,駭客透過該殭屍網路蒐集了各種憑證與資料,其中還包括了知名防毒業者已過期的數位簽章。
英國資安業者Trusteer上周指出,駭客透過第二版Zeus殭屍網路打算在英國進行金融詐騙,隨後另一資安業者趨勢科技(Trend Micro)則發現Zeus殭屍程式中含有防毒軟體業者卡巴斯基(Kaspersky)的數位簽章。趨勢警告,這顯示在惡意程式中嵌入數位簽章以取信使用者或系統已逐漸成為攻擊趨勢。
Trusteer表示,Zeus殭屍網路約感染10萬台電腦,其中有98%位於英國,駭客透過該殭屍網路蒐集了各種憑證,包括登入線上銀行的帳號及登入資訊、信用卡或借貸卡號碼,或是電子郵件、社交網路帳號、瀏覽器cookie,甚至是FTP密碼等。
Trusteer技術長Amit Klein說,值得擔心的是該殭屍網路並不只著眼於使用者的帳號與密碼,藉由客戶端的認證與cookie資料,駭客可以取得更多有關使用者的資訊並擴大所非法存取的使用者網路帳號。由於全球都存有不同版本的Zeus殭屍網路,使得Zeus已成為網路詐欺有史以來最普及的殭屍木馬程式。
趨勢科技則發現Zeus的可疑檔案中含有來自卡巴斯基的數位簽章,諷刺的是該數位簽章原本是屬於卡巴斯基殭屍病毒清除工具─ZbotKiller的,趨勢表示駭客應是直接把ZbotKiller的數位簽章拷貝到惡意檔案中,但其用來驗證使用者所收取的檔案是否為原來檔案的雜湊值(hash value)已過期且失效。
這並非是駭客首次竊取數位簽章,數位簽章是用來驗證內容與來源的完整性,及防止使用者下載有害的檔案,先前資安業者發現攻擊微軟Windows Shell漏洞Stuxnet木馬程式中就發現了來自瑞昱半導體(Realtek)與智微(JMicron)科技的程式碼簽章。
不過,eWeek引述卡巴斯基研究人員Roel Schouwenberg的說法指出,Zeus的作者並未實際竊取該公司的數位簽章,而只是從其他檔案複製了卡巴斯基的簽章,因此這並非該公司的產品漏洞,而且該簽章也是無效的。趨勢科技則建議使用者最好仔細檢查程式數位簽章的內容以確保相關數位簽章是有效的。