IBM：金融木馬怪獸Shifu襲擊14家日本銀行

IBM的X-Force安全團隊於揭露一個新的金融木馬程式Shifu，該程式的命名源自於日文的「小偷」，因為它目前鎖定的是14家日本銀行。雖然Shifu的攻擊目標也包括了歐洲的電子銀行平台，但迄今只在日本發現攻擊行動。

根據IBM的分析，Shifu是支非常精密的金融木馬程式，最大的特色來為融合了許多已知金融木馬的功能與模組，成為一金融木馬怪獸，例如它使用了Shiz木馬的網域產生演算法、Corcow與Shiz的密碼與認證竊取機制、Zeus的反研究技術、Gozi/ISFB的隱藏技術、Dridex的配置、Conficker蠕蟲的系統復原點清除技術，也借用了Dyre以自我簽署憑證執行安全傳輸的方法。

換句話說，Shifu具備了反研究、反虛擬機器，以及反沙箱等工具，還有瀏覽器及網頁注入解析器，擁有鍵盤側錄能力，可攫取螢幕畫面與憑證，並能針對終端進行分類，監控有利可圖的程式，也有遠端存取工具與殭屍控制模組。

該木馬在感染使用者系統之後，便會竊取各種金融資訊，從密碼、憑證到認證權杖，進而掌控使用者的銀行帳戶。若是受到感染的裝置為讀卡機，則能取得加密的金融卡資訊。此外，它還能辨識受到感染的裝置是否為收銀機系統（POS），確認後便會部署額外的「記憶體刮除」外掛程式來蒐集金融卡資訊。

Shifu的目標還包括以Java為基礎的電子銀行平台，在相關平台上掃描權杖檔案，或是尋找銀行商業用戶的數位簽章憑證。除了木馬能力外，Shifu亦有防毒機制，得以避免已到手的系統被其他的惡意程式侵犯。 X-Force團隊警告，即使Shifu現在只攻擊日本的銀行，但它所具備的擴散潛力不容小覷。（編譯/陳曉莉）