BankGhost Builder

网络安全研究人员发现了一则基于 Telegram 的广告，推广名为“BankGhost Builder”的恶意软件创建平台。该平台功能复杂，旨在生成集成了命令与控制 (C2) 功能、钓鱼邮件传播机制和欺诈功能的银行木马。据报道，该工具正在通过 Telegram 地下社群传播，这加剧了人们对恶意软件即服务 (MaaS) 运营迅速扩张的担忧。

该恶意软件框架由一个名为“基础设施破坏小组”（IDS，又名“黑暗引擎”）的威胁组织推广，该组织与 Telegram 有关联。其在网络犯罪生态系统中的推广表明，该组织正积极致力于将高级恶意软件开发商业化，并使技术水平较低的犯罪分子更容易参与金融网络犯罪。

基础设施破坏小组扩大地下影响力

基础设施破坏小组 (IDS) 在 2025 年末崭露头角，并在 2026 年持续位列最令人担忧的网络威胁之列。与许多主要依赖破坏性分布式拒绝服务 (DDoS) 攻击的亲俄黑客组织不同，IDS 因涉嫌入侵工业控制系统 (ICS) 和 SCADA 环境而受到关注。

该组织还与一些地下活动有关，包括推广攻击性黑客工具、发布被盗数据和泄露信息。该组织在 Telegram 上拥有超过 1600 名订阅者，通过简化获取高级攻击手段的途径，加速了复杂网络威胁的传播。

BankGhost Builder 结合了恶意软件部署和欺诈操作

BankGhost Builder 被宣传为一款功能全面的银行恶意软件框架，能够支持整个网络攻击生命周期。根据宣传资料，该平台为遍布印度、北美、欧洲和亚太地区的 700 多家银行机构提供支持。

该构建器将有效载荷生成、钓鱼基础设施、C2服务器部署和欺诈执行集成到一个统一的生态系统中。据报道，其功能集包括多态加密、进程伪装和有效载荷注入技术，旨在规避传统安全工具的检测。此外，该恶意软件还支持多种通信通道，包括HTTPS、DNSover-HTTPS、Tor和WebSocket协议。

该平台还包含直接的欺诈功能，例如凭证窃取、会话劫持、网页注入以及旨在绕过双因素身份验证保护的技术。这些功能与 Zeus、Dridex 和 TrickBot 等知名银行恶意软件家族的功能非常相似，但现在被打包成更易于部署的构建器格式。

降低准入门槛会增加金融行业的风险

BankGhost Builder 的出现反映了网络犯罪的持续产业化，即先进的攻击能力被打包、销售并大规模分发。其模块化架构和可定制的有效载荷生成功能降低了对静态入侵指标的依赖，从而增加了防御者进行归因和检测的难度。

安全分析师警告称，此类工具的广泛普及可能会加速多种主要威胁趋势，其中包括：

针对银行客户和员工的网络钓鱼恶意软件攻击活动日益增多。
账户盗用（ATO）事件日益增多，以及本地化欺诈活动日趋复杂。

这些事态发展可能会显著扩大网络犯罪集团的活动范围，这些集团此前缺乏独立实施高级银行攻击的专业知识。

敦促金融机构加强防御策略

为了应对日益严重的银行恶意软件威胁，建议金融机构采用基于情报和行为的安全策略。推荐的防御措施包括：

• 通过行为分析监控异常进程执行、剪贴板操作和屏幕截图行为
• 检测可疑的加密流量模式，包括基于HTTPS的DNS和Tor通信
• 实施严格的电子邮件安全控制措施，例如附件沙箱以及对高风险文件类型（包括 MSI、DLL 和 EXE 文件）的限制。
• 通过设备指纹识别、交易异常检测和高级行为监控来加强欺诈预防计划

随着地下网络犯罪团伙不断加速采用和传播 BankGhost Builder 等复杂的恶意软件平台，采取积极主动、多层次的防御策略仍然至关重要。