来自某地下技术论坛的犯罪分子们已经开发出一种新技术,能够避开Trusteer反木马机制的层层堵截,从而令全球各大金融机构——包括汇丰银行与Paypal——的储户保护方案形同虚设。
Trusteer方面对这一安全漏洞进行冷处理,并轻描淡写地表示已经在推出针对性强化方案。然而,率先发现该漏洞的独立安全研究人员仍然警告称,目前银行客户仍然处于危险当中。
Trusteer的Rapport浏览器锁定技术目前已经成为全球五十家银行客户的可选下载方案,其中包括英国的国民西敏寺银行以及汇丰银行。在美国方面,ING Direct USA、eBay以及PayPal的客户也在企业方面的引导下利用这项技术实现反木马保护。
根据数字取证企业Group-IB的调查,某个私人网络犯罪论坛开发出一套机制,能够成功绕过浏览器锁定技术。更确切地说,Trusteer Rapport的1208.41及更早版本会遭受内存修改漏洞的侵害,从而关闭“Rapport的自检脱钩与拦截系统”。
“在新漏洞的帮助下,恶意人士将有可能在Trusteer Rapport运行的同时拦截用户的验证资料,”Group-IB公司国际项目负责人Andrey Komarov解释道。
根据Komarov的说明,网络犯罪论坛的成员已经开始使用这招绕过Papport检查,通过拦截,防止用户的登入信息被窃取,包括网上银行服务的登录细节。
在一份声明中,Trusteer公司CTO Amit Klein刻意淡化了该漏洞的严重性。Klein表示该漏洞只会影响到Trusteer软件提供给客户的保护层之一。
针对该漏洞的补丁已经公布,而且将自动普及到全部Trusteer Rapport客户群体当中。Rapport的用户无需采取任何额外措施。这项安全漏洞对Rapport阻断金融恶意软件,例如Zeus、KINS、Carbero、Gozi、Tilon以及Citadel等,的效能不会造成任何影响。这是因为Rapport还采用了其它与该漏洞无关的保护机制,从而继续保持拦截恶意软件的能力。此外,目前也还没有任何金融恶意软件在利用该安全漏洞。
不过El Reb网站还收到另一份声明,据说这份声明已经在本周一被发布到Trusteer各大银行业客户手中。这份声明补充了一项重点警告,称“该漏洞与新型恶意软件(所谓‘新型’是指处于未知状态、尚未实际出现)的结合给Rapport未采用多层次保护的产品带来严重威胁,并很可能成功绕过Rapport的保护机制。”
根据Komarov的说法,上述安全规避方案目前仍然有效。
“问题仍未得到解决,我们可以通过视频向大家演示如何成功绕过当前Rapport版本,”他向El Reg网站解释称。“由于SpyEye与Carberp的源代码已经泄露,目前已经出现一些利用该漏洞绕过安全机制的编译副本。”
Komarov补充称,Group-IB公司正在深入分析黑客团队利用该漏洞的具体方式。其中某些黑客此前还参与过SpyEye与Zeus中的反Rapport模块开发,过去几年中这两款恶意软件已经成为银行木马工具中的主要***。
众多网络犯罪论坛自2010年以来一直在积极讨论规避Trusteer的可能性与具体机制,Komarov总结称。
