用户总以为只要使用HTTPS和SSL加密连接,访问网站时就能高枕无忧。但如果信息在发出前就已遭窃取,那么这些加密功能还有机会保护你的数据吗?目前有一种新型的密码还原工具,可以通过 PASSTEAL 在提取存储在浏览器中的所有网站保存的密码,即便是加密(SSL 或 HTTPS)网站,例如 Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各种网络银行也无法幸免。
由于信息已成为一种新兴货币,网络犯罪者时时刻刻都在思考如何窃取用户的宝贵数据。而 PASSTEAL 正是歹徒最新的数据窃取工具,该工具内含一个密码还原程序,可有效搜集用户的登录账号密码,就算采用加密连接的网站也无法幸免。根据我们所获得的资料分析可知,该恶意软件有某些变种是专门窃取 Google Chrome 和 Internet Explorer 中所储存的账户号密码的,并使用了类似“PasswordFox”的工具。
过去,趋势科技就已发现多个专门窃取数据的恶意软件,包括专门搜集图像文件并上传至远程 FTP 服务器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行为与 PIXSSTEAL 类似,但它窃取信息的方式有很大区别。
TSPY_PASSTEAL.A 专门搜集储存在浏览器内的信息
趋势科技检测到 TSPY_PASSTEAL.A 会提取多种不同在线服务和应用程序的账户登录信息,然后储存在一个名为 {计算机名称}.txt 的文本文件内。
有别于大多数通过键盘侧录来搜集数据的恶意软件,PASSTEAL 使用的是密码还原程序来提取浏览器内所储存的密码。在趋势科技所分析到的样本中,有些压缩过的数据,这是一个专为 FireFox 浏览器设计的程序,叫做“PasswordFox”。
PASSTEAL 一旦搜集到数据,就会使用“/sxml”参数执行专门的命令,将窃取到的账户密码储存成 .XML 文件,然后将其转换成 .TXT 文件。接着 PASSTEAL 会访问远程 FTP 服务器,将搜集到的信息上传。
事实上,此密码还原工具可以让 PASSTEAL 提取浏览器储存的所有网站密码,即使使用加密连接访问的网站也无法幸免。此外 PASSTEAL 窃取的对象也不限于浏览器。某些变种会专门搜集 Steam 和 Jdownloader 等应用程序的信息。
在研究过程中,趋势科技发现该恶意软件已感染了 400 台以上的计算机。由于 PASSTEAL 和 PIXSTEAL 两者窃取数据的程序(FTP 上传)有相似之处,因此有可能是同一批网络犯罪者所制作。
一旦窃取到登录信息后,网络犯罪者就可能将偷到的信息用于非法用途,例如身分盗窃。此外他们也可能将偷来的电子邮件地址卖给垃圾邮件散发者或其他犯罪集团来牟利。
若是取得了受害者的网络银行登录信息,歹徒也可能从事非法转账或其他金融交易,造成用户实质的财产损失。请参考:16 个俄罗斯网络非法服务/地下经济价目表。
趋势科技提醒大家,该恶意软件的作者很容易就能重新封装这个恶意软件,只要换掉其中的密码还原工具就能攻击其他程序。趋势科技也用 Firefox 16.0.2(目前最新稳定版本)测试了一下这个密码还原工具,也证实它同样能提取帐户信息,而且对老版本也有效。此恶意软件也还有其他变种,具备类似的密码还原工具,可从 Google Chrome 23.0.1271.64(最新稳定版本)与 IE 8/9 中提取账户密码。
清除缓存,定期更改密码
清除您的缓存,定期更改密码,这些都是我们经常听到却未放在心上的安全守则。然而,既然 PASSTEAL 会窃取浏览器内的数据,用户应该随时遵守这些原则来降低信息被盗的风险。若不将密码储存在浏览器内,用户也可选择类似 PC-cillin 2012 云安全软件内建的密码管理 e 指通,借此有效管理并保存多个密码,您可立即免费试用下载。
此外一些在线服务,例如 Google、Dropbox 及 Facebook 都采用双因素认证机制提供额外的安全保障。在这种认证方式之下,用户除了要输入密码外,还要输入系统所产生的一串字符。这串字符可通过手机短信或语音消息的方式发送到用户手机上。通过这样的方式,歹徒就更难进入我们的网络账号了。
本文来源:赛迪 作者:Alvin John Nieto