病毒定义
病毒类型:高级持续性威胁、木马、恶意软件。
什么是 Metel?
2011 年,Metel 银行木马(又名 Corkow)在被用于攻击在线银行服务用户时暴露在人们的视线中。2015 年,Metel 组织开始将目标直接瞄准银行和金融机构。
它会做什么?
在感染阶段后,罪犯会借助合法工具和渗透测试工具进行内网漫游,并从初始受害者处(入口点)盗取密码,以取得对组织内拥有资金交易权限的计算机的访问权限。获得该级别的访问权限后,该团伙便能通过自动回滚 ATM 交易骗过 ATM 机。这就意味着他们可以通过借记卡从 ATM 机盗取资金,而同时使卡上的余额保持不变,这样他们就能从不同的 ATM 机多次进行交易。
谁是其攻击的受害者?
我们目前观察到的受害者仅限于银行和金融机构。
他们在这些组织内的主要目标包括:
- 银行内 — 网上银行数据库:罪犯可以在银行卡余额上玩花样。
- 公司内 — 会计部中装有具有资金交易权限的客户-银行系统的计算机。罪犯可以替换掉真实交易的银行详细信息,或手动处理欺诈性交易。
- 支付 API 的服务器:这其中会有一个软件,指示应向某个特定的电话号码转账多少钱。罪犯可以骗过这类 API,让它以为客户正将 10,000 卢布(约合 120 美元)转到大量电话号码上。
我有遭受攻击的危险吗?
到目前为止,卡巴斯基实验室的研究人员只在俄罗斯识别到了这类攻击。尽管如此,仍有理由怀疑感染有可能涉及更广范围,因此建议全球各地的银行都能主动检查是否受到了感染。
如何判断我是否受到了感染?
卡巴斯基实验室的产品可成功检测并阻止 Metel 所使用的下列恶意软件(显示检测名称):
Trojan-Dropper.Win32.Metel;Backdoor.Win32.Metel;Trojan-Banker.Win32.Metel
此外,有关入侵指标也可在 Securelist 上的博文中找到。
如何保护自己?
为提高防护级别,建议组织使用包含 BSS(行为流特征码)模块的系统监控。现在的所有产品和解决方案中都包含了这一功能。
为安全起见,请确保您使用高级反恶意软件解决方案,比如卡巴斯基端点安全解决方案企业版。此外还要注意提高您的网络安全意识,以确保您能识别出您的电子邮件收件箱中的钓鱼邮件。
当然,仅仅提供大量有力的端点安全层是不够的。面对最流行的初始感染技术之一,鱼叉式网络钓鱼,可靠的邮件安全保护也必不可少。卡巴斯基网络安全解决方案 — 邮件服务器安全能扫描收到的电子邮件中存在的恶意附件和恶意 URL,从而大大减少恶意软件抵达受害者的机会。