这些流行的银行木马，你都了解吗？

银行木马是一款对针对金融客户为目标，通过各种方式窃取客户网上银行凭证信息的恶意软件，最近几年一些银行木马不仅仅传播自己，还充当勒索病毒的分销商，传播勒索病毒，笔者今天给大家介绍一些比较流行的银行木马家族。

No.1 Zeus

Zeus也称为ZBOT，是有史以来最为著名为银行木马之一，在2007年首次被发现，主要通过抓取用户凭证，更改网页表单信息，以及将用户重定向到虚假的网上银行网站，根据卡巴斯基的报道称，其作者称“退休”并将源代码卖给了另一个银行木马家族SpyEye的开发者，随后Zeus的源代码被公开，发展出不同的变种版本，主要的变种家族以：Citadel,Gameover和Atmos为主，在2016年首次在巴西出现的Zeus Panda银行木马，也使用了Zeus的许多技术，其主要攻击金融服务机构，在2018年其扩大攻击范围，以加密货币交易和社交媒体网站为目标，Zeus主要能过垃圾邮件来传播，后期使用了更高强度的代码加密技术，更灵活的恶意插件分发，通过盗取用户的银行帐户、窃取受害者网上银行等相关信息，赚取暴利。

No.2 Emotet

Emotet最初由安全研究人员在2014年首次发现，它采用模块化架构设计，并具有持久化和蠕虫式自动传播功能，主要通过垃圾邮件进行分发，通常作为一个下载器，下载其它恶意模块，并注入到相应的进程中，2018年，Emotet异常活跃，基本上每天都有新的变种出现，自2018年2月以来，Emotet用于传播其它僵尸网络程序，同时还会分发一些功索病毒。

No.3 TrickBot

TrickBot被称为Dyre僵尸网络的继承者之一，2016年针对金融服务行业的纯银行木马，主要通过垃圾邮件传播，收集用户计算机的数据，包括操作系统版本、CPU情况、内存、用户名、系统服务、软件安装情况等，并获取用户的银行凭证以及密码信息，并通过网络进行横向传播，近期发现它会盗取用户的比特币交易信息，TrickBot是一款多模块化的恶意软件，不同的模块负责不同的恶意活动，此前还发现它用来传播Ryuk勒索病毒。

No.4 Gozi

Gozi银行木马，也是今年最流行的一款银行木马，它也被称为Ursnif或者ISFB，是最古老的银行木马之一，首次开发时，Gozi使用rootkit组件来隐藏其进程，2010年，Gozi银行木马源代码被泄露，出现了几个不同的变种版本，2015年，它的源代码被第二次泄露,导致Gozi的代码被集成到了其它恶意软件当中，例如后面在2016年从北美银行盗走数百万美元的GozNym恶意软件，在GozNym盗窃事件之后，Gozi采用了新的技术，利用Dark Cloud僵尸网络进行分发，最近Gozi又与DanaBot建立联系，以瞄准一些意大利银行，十几年来，Gozi一直很活跃，被认为是最危险的银行木马恶意软件之一。

No.5 Dridex

Dridex在2011年9月被首次发现，被命名为Cidex，直到2014年6月Dridex版本的出现，是一款著名的银行木马，主要通过垃圾邮件进行传播，经过研究人员发现Dridex与Gameover Zeus在代码中有许多相似之处，同时Dridex归属地是一个讲俄语的网络犯罪组织，该网络犯罪组织开发了Gameover Zeus，在2015年，Dridex造成的损失就超过4000万美元，2016年4月，Dridex将焦点从英国银行转移到美国银行，2018年12月研究人员发现了Dridex、Emotet和Ursnif(Gozi)恶意软件之间的联系，此银行木马非常活跃，背后的运营团队也在不断的更新新的技术，改进Payload的加载方式，使其变的越来越复杂，去年1月份，FacePoint团队的安全研究人员发现Dridex扩大了感染链，通过FTP网站进行传播感染。

No.6 Cerberp

Carberp是一款专门用于盗取银行信息的恶意软件，最早于2009年被首次发现，2012年，八名参与Cerberp行动的黑客被俄罗斯事务部逮捕，在2013年，Cerberp卷土重来，2014年4月份，黑产团伙通过该软件从乌克兰和俄罗斯盗取了大约169万美元，从2013年6月份Carberp的源代码在地下黑客市公开出售，标价为50000美元，随后俄罗斯地下论坛公布了Carberp的源代码，并且在网络提供免费下载，导致Carberp木马开始不断的进化，出现了各种不同的版本，Carberp在2016年被发现企图从世界各地的银行窃取资金，这个网络犯罪团伙据称于2013年开始，涉嫌从事其他有组织犯罪活动，包括洗钱，毒品和人口贩运，2018年，被指控的Carbanak犯罪团伙领导人被捕。从那时起，Carberp一直保持平静， Carberp仍然是一种威胁，它很可能会重新抬头。

No.7 Carbanak

Carbanak恶意软件是Carbanak犯罪团伙开发，主要用于攻击银行计算机和其它金融机构而得此名，国外安全专家调查发现，认为Carbanak网络犯罪团伙与俄罗斯安全公司Infocube之间的具有一定的关联，该团队在2013年-2014年之间开发了Anunak这款恶意软件，主要针对金融机构，在2014年-2016年之间，开发使用Carbanak恶意软件，2016年初，Carbanak团伙主要针对美国和中东地区的银行和金融机构，2015年卡巴斯基首次发现Carbanak团伙，该团伙从100家金融机构窃取了10亿美元资金，2016年11月，Trustwave发现该组织针对酒店行业发起新一轮攻击，2018年2月，欧州刑警组织表示，西班牙警方逮捕了Carbanak犯罪团伙的头目，随后某安全组织曝光了Carbanak团伙的工具源码，说明文档和源码中出现了大量的俄语注释，可能Carbanak来自于俄罗斯的黑客组织，近期卡巴斯基发现了Carbanak2.0正在瞄准银行以外公司的预算和会计部门，可能会发起新一轮的攻击 。

上面介绍了一些比较流行的银行木马家族，事实上在银行木马家族谱中，还有很多成员，就不一一介绍了，同时根据笔者的跟踪与研究，Emotet、TrickBot、Ursnif(Gozi)这三款银行木马在最近一两年内异常活跃，不断的新的样本和IOC被曝光。

银行木马已经成为全球金融行业最大的安全威胁之一，可以预见，随着未来数字货币的发展，这些银行木马后期会不会转向盗取客户的数字货币帐号等信息，需要安全研究人员持续追踪，笔者曾写过多篇关于银行木马的分析报告，其中包括：TrickBot、Ursnif、Emotet、Dridex，Redaman等家族，银行木马一直是安全分析人员研究的重点，每款银行木马家族都是一种复杂的恶意软件，需要花费分析人员大量的时间，一些黑产团伙专门从事银行木马的开发运营活动，并已经从中获得了巨大的利润，并且随着最近几年勒索病毒的暴利，一些银行木马也被用于传播勒索病毒，成为勒索病毒等恶意软件的分销商。