安全公司Trusteer的研究人员周一称,网络犯罪分子正在利用宙斯僵尸网络(Zeus)的在线银行恶意软件,针对使用云薪酬服务(即在线发放员工工资的服务)的企业发动攻击。
研究人员无意中发现了一个新型的Zeus配置文件,该文件在监视一家加拿大的人力资源和薪酬服务提供商Ceridian的登录页面,目的显然是要窃取该公司的客户身份信息。
该恶意软件可通过受控制电脑窃取用户ID、密码和企业在Ceridian的clients.powerpwy.ca网站上的认证号码,自动抓取该网站基于图形的验证系统屏幕截图。
Trusteer的CTO Amit Klein预测说,薪酬服务正在成为越来越多的网络犯罪分子的攻击目标,因为犯罪分子很容易通过此类服务窃取大量金钱,这比他们从正规的在线银行账号盗取钱财更容易得手。
Klein说,一般而言,薪酬服务所使用的认证保护措施要比网上银行网站所使用的保护措施落后好几年。
此外,由于薪酬服务可以从任何地点访问,因此攻击者并不需要突破企业网络才能执行犯罪活动。只须盗取认证证书,或者从企业内部偷盗一台笔记本电脑便可。
一旦认证证书到手,犯罪分子便可在薪酬系统中添加假冒的员工名单,从而将数量可观的金钱转入犯罪分子们控制的账户。
去年,一群犯罪分子使用这种手法从内布拉斯加州一家叫做大都会娱乐公会(MECA)的非营利机构盗走了217000美金。
攻击者将这些钱从MECA的薪酬系统转入了他们用欺骗手段招募的一些在家工作的美国居民的银行账户,然后将这些钱转出了美国。
遗憾的是,通常的防病毒程序不足以防范Zeus的传播,因为犯罪分子们使用的这个特洛伊木马可在他们发功攻击之前执行反侦察程序,该可以学习受控电脑所使用的安全产品的检查方式。每当防病毒软件开始定期检查时,它们就会变换恶意软件以逃过检查。
Trusteer的Rapport安全产品可以保障Web浏览会话的安全,这样恶意软件就无法进行自身篡改,从而盗取证书了。然而,安全专家们以前就曾建议过组织和企业只使用专用的电脑执行敏感的财务任务,或者从Linux激活CD上启动电脑以减少被恶意软件感染的机会,但这些建议收效甚微。