小心！专门窃取银行数据的恶意木马——Qadars

　　概述

根据国外媒体的最新报道，安全研究专家发现了一款非常复杂的恶意软件。这款恶意软件名为“Qadars”，它可以欺骗用户并获取到目标系统的管理员权限。当然了，它获取管理员权限的目的就是为了窃取用户的银行数据。

下面这张图片显示的是Qadars在欺骗用户时所使用的虚假安全更新提示：

据了解，这款银行木马到2016年为止已经活动了三年了。安全研究专家认为，这款如此复杂的银行木马肯定是由某个有组织的且经验丰富的俄罗斯网络犯罪团伙开发出来的，而现在该木马也开始将攻击的“矛头”指向了英国的银行。

Qadars木马

从2013年开始，安全研究人员就已经检测到了Qadars木马的活动迹象。而三年的时间下来，这款木马也在不断地更新版本。需要注意的是，Qadars可以针对不同国家和地区的银行进行攻击。早在2013年至2014年，Qadars就曾攻击过法国和荷兰的银行。而在2015年至2016年之间，Qadars还对澳大利亚、加拿大、美国、以及荷兰等国的多家银行发动过恶意攻击。

就在上个月，IBM公司X-Force研究团队的安全研究人员在里约奥运会开幕之前发现了一款针对巴西银行的恶意软件。现在，他们又检测到了一个新版本的Qadars木马，而这也就意味着新型的Qadars木马将会发动新一轮的攻击。

银行和金融部门是Qadars的主要攻击目标

这一次，Qadars针对的不仅是十八家英国银行，而且它还会对德国、波兰以及荷兰的多家金融机构进行攻击。为什么受伤的总有荷兰？当然了，英国银行最近也不太平，因为英国的多家银行近期还遭到了另一款恶意软件（Dridex）的攻击。

安全研究专家在受感染的主机中发现了漏洞利用工具，所以他们推测Qadars在感染终端设备时主要使用的是漏洞利用工具，而且Qadars攻击者还会购买一些域名来传播恶意软件。除此之外，Qadars还可以使用带有下载功能的恶意软件来感染目标主机，并利用这些“肉鸡”来构建僵尸网络。

Qadars攻击者会使用社会工程学技术来帮助他们获取到目标系统的控制权，然后进行大规模的数据窃取活动。比如说，目前很多网银服务都引入了双因素身份验证系统，而Qadars将会从这种认证系统中窃取敏感信息。除此之外，该木马还可以监视目标设备上的所有用户操作，并劫持目标用户智能手机中的文字消息。

你以为Qadars只会窃取银行数据吗？那你就大错特错了。Qadars还会对Facebook用户、网络体育博彩用户以及电子商务网站用户进行攻击。

Qadars背后的攻击者

这款恶意软件的最新版本为Qadars V3，该版本最早出现于今年的春季，并在今年的五月份活动愈趋频繁。实际上，就在几个月之后，这款恶意软件的作者就修复了Qadars中的多个漏洞，并对其代码进行了优化与提升。根据IBM X-Force研究团队透露的信息，这些代码中的注释全部是用俄语写的，而通过对代码进行进一步分析后发现，这些代码全部都来自于同一个源地址。

值得注意的是，这款恶意软件一直都在更新，而且它还使用了非常先进的攻击技术来从目标用户的设备中窃取尽可能多的数据。所以安全专家普遍认为，Qadars背后的攻击者肯定是一个高度专业化的黑客组织。

Qadars分析

在Qadars所使用的技术中，有一个专门用于实现提权的技术。实际上这只能算是一种小把戏，因为Qadars会使用社会工程学技巧来欺骗用户，让用户相信系统已经准备好了Windows安全更新，他们会认为自己随时可以安装这些更新补丁。但是，当用户同意安装并点击了虚假更新提示中的选项后，后果可就严重了。他们不但没有提升自己的安全性，而且还使自己陷入了危险之中：当用户点击了伪造的更新窗口之后，Qadars也就成功地获取到了目标系统的管理员权限，然后它便可以窃取主机中存储的任何数据了。

Qadars木马可以驻留在浏览器中，并时刻监视并控制用户的活动。除此之外，它还可以从远程服务器实时获取控制命令以进行web注入。攻击者不仅可以通过劫持短信app来伪造文字短信，而且还可以利用网银自动转账系统（ATS）中的漏洞来实现交易操作。

自动转账系统的控制面板中包含有交易自动化处理脚本、预编程的交易控制流程、以及各种交易参数。而该木马可以利用这些功能来实现非法在线交易操作。

为了成功窃取到用户的双因素身份验证码，攻击者还可以用Perkele恶意软件来感染目标用户的智能手机。当Qadars从移动设备中获取到验证码之后，它便可以直接将验证码添加到ATS交易业务流程中。

　　Qadars的影响

单从Qadars的感染用户数量来看的话，Qadars所带来的麻烦远远不及另外两款木马病毒（GozNym和Dridex），而且Dridex可以算得上是对金融领域产生威胁最大的木马病毒了。而且这款恶意软件非常高效，它每次只会针对特定地区内的金融部门进行攻击，而上个月Dridex攻击的就是英国的银行部门。Dridex在攻击过程中主要使用的是网络钓鱼技术，Dridex攻击者先要向目标用户发送一封带有恶意附件的钓鱼邮件，当用户运行了附件中的应用程序之后，嵌入其中的恶意代码将会下载并运行Dridex。

但是安全研究专家认为，Qadars背后的攻击者不太有可能会发动大规模的网络攻击，因为他们肯定不想自己的攻击活动这么快就被发现，而大规模攻击往往被发现的可能性就会更大。如果Qadars引起了安全专家们的注意，那么不仅将会影响Qadars的信息窃取活动，而且相当于挡住了攻击者的财路。

总结

银行作为一个存储了大量金钱和金融数据的大型仓库，遭受黑客攻击当然是在所难免的了。对于黑客而言，银行也绝对是一个宝藏，所以网络犯罪组织肯定会不断地对银行和金融部门进行复杂的网络攻击。银行方面不仅要不断提升自己的安全防御能力，而且还要保护终端用户在使用网银系统时的安全，因为一个小小的安全问题都将有可能带来严重的后果。

还有一点是非常值得注意的，这款恶意软件非常的复杂，而这也就意味着该木马所包含的工作量极大。开发Qadars的攻击者之所以要投入如此大的精力，很可能是由于目前人们对于恶意软件行业的关注度正在上升。

本文转自d1net（转载）