7月14日,西班牙执法机构逮捕了16名网络犯罪分子,他们涉嫌运营两个银行木马程序,以支持欧洲金融机构的社工犯罪活动。
西班牙公民警卫队在一份声明中表示,在进行了长达一年的 "Aguas Vivas "调查后,在西班牙里贝拉(阿科鲁尼亚)、马德里、帕尔拉和莫斯托莱斯(马德里)、塞塞尼亚(托莱多)、巴达霍斯和杜罗河畔阿兰达(布尔戈斯)不同地点逮捕了犯罪团伙。
当局指出:"犯罪团伙通过电子邮件欺诈技术将恶意软件安装在目标用户的计算机中,再设法将受害人的资金转移到他们自己的账户上。“
抓捕犯罪团伙后,计算机设备、移动电话和文件被充公,专家分析了1800多封垃圾邮件,执法部门成功阻止了企图转账数额总额为350万欧元。据称,此次犯罪团伙净赚276470欧元,其中87000欧元已被成功追回。
攻击者如何让网络钓鱼看起来更真实可信?还在于他们精心准备的“伪装面具”,比如通过合法的包裹递送服务和政府部门(如财政部)为幌子向目标用户发送邮件,一旦目标用户点击了恶意链接,那么后台就隐蔽地安装了恶意软件。
这两款恶意软件名为 "Mekotio "和 "Grandoreiro",通过拦截银行网站上的交易,在未经授权的情况下将资金抽调到攻击者控制的账户。至少有68个属于官方机构的电子邮件账户被入侵,以便黑客开展这种欺诈性转账。
公民警卫队说:"之后他们为了防止警察的调查,会利用BIZUM、REVOLUT之类的卡将钱转移到其他账户,或在自动取款机上提取现金,多渠道多方式转移资金。“
网络安全公司卡巴斯基曾在2020年7月披露,Grandoreiro和Mekotio(又名Melcoz)都是巴西银行木马 "Tetrade"的一部分,而ESET在2020年8月披露了"Tetrade"发展和变异的具体技术,如向其受害者显示虚假的弹出窗口,试图诱使他们泄露敏感信息。
斯洛伐克网络安全公司指出:"这些窗口是精心定制的,针对拉丁美洲的银行和其他金融机构。“
Grandoreiro至少从2016年开始运作,有针对巴西、墨西哥、西班牙、葡萄牙和土耳其定向攻击的历史。攻击者定期改进技术,试图保持隐蔽性和更长时间的活动。另一方面,Mekotio最早可追溯至2018年,在针对巴西的攻击案例中被发现,随后陆续扩展到智利、墨西哥和西班牙其他地区。
卡巴斯基研究人员在发表的一份报告中解释道:"(Mekotio)从浏览器和设备的内存中窃取密码,提供远程访问,以获取网银访问权限,它还包括一个比特币钱包窃取模块。"
因此,为了避免遭受此类攻击,卡巴斯基建议电子邮件和短信收件人仔细检查信息,尤其是涉及紧急要求、促销活动或非常有吸引力的促销活动和组织时,也可以关注信息的语法错误以核实信息发件人的真实性。
参考来源:
16 Cybercriminals Behind Mekotio and Grandoreiro Banking Trojan Arrested in Spain