BankGhost Builder
網路安全研究人員發現了一則基於 Telegram 的廣告,推廣名為「BankGhost Builder」的惡意軟體創建平台。該平台功能複雜,旨在產生整合了命令與控制 (C2) 功能、釣魚郵件傳播機制和詐騙功能的銀行木馬。據報道,該工具正在透過 Telegram 地下社群傳播,這加劇了人們對惡意軟體即服務 (MaaS) 營運迅速擴張的擔憂。
該惡意軟體框架由一個名為「基礎設施破壞小組」(IDS,又稱為「黑暗引擎」)的威脅組織推廣,該組織與 Telegram 有關。其在網路犯罪生態系統中的推廣表明,該組織正積極致力於將高級惡意軟體開發商業化,並使技術水平較低的犯罪分子更容易參與金融網路犯罪。
目錄
基礎建設破壞小組擴大地下影響力
基礎設施破壞小組 (IDS) 在 2025 年底嶄露頭角,並在 2026 年持續位列最令人擔憂的網路威脅之列。與許多主要依賴破壞性分散式阻斷服務 (DDoS) 攻擊的親俄駭客組織不同,IDS 因涉嫌入侵工業控制系統 (ICS) 和 SCADA 環境而受到關注。
該組織也與一些地下活動有關,包括推廣攻擊性駭客工具、發布被盜資料和洩漏資訊。該組織在 Telegram 上擁有超過 1600 名訂閱者,透過簡化獲取進階攻擊手段的途徑,加速了複雜網路威脅的傳播。
BankGhost Builder 結合了惡意軟體部署和詐欺操作
BankGhost Builder 被宣傳為一款功能全面的銀行惡意軟體框架,能夠支援整個網路攻擊生命週期。根據宣傳資料,該平台為遍布印度、北美、歐洲和亞太地區的 700 多家銀行機構提供支援。
該建構器將有效載荷生成、釣魚基礎設施、C2伺服器部署和詐欺執行整合到一個統一的生態系統中。據報道,其功能集包括多態加密、進程偽裝和有效載荷注入技術,旨在規避傳統安全工具的偵測。此外,該惡意軟體還支援多種通訊通道,包括HTTPS、DNSover-HTTPS、Tor和WebSocket協定。
該平台還包含直接的詐騙功能,例如憑證竊取、會話劫持、網頁注入以及旨在繞過雙重認證保護的技術。這些功能與 Zeus、Dridex 和 TrickBot 等知名銀行惡意軟體家族的功能非常相似,但現在已打包成更容易部署的建構器格式。
降低准入門檻會增加金融業的風險
BankGhost Builder 的出現反映了網路犯罪的持續產業化,即先進的攻擊能力被打包、銷售並大規模分發。其模組化架構和可自訂的有效載荷產生功能降低了對靜態入侵指標的依賴,從而增加了防御者進行歸因和檢測的難度。
安全分析師警告稱,此類工具的廣泛普及可能會加速多種主要威脅趨勢,包括:
針對銀行客戶和員工的網路釣魚惡意軟體攻擊活動日益增多。
帳戶盜用(ATO)事件日益增多,以及在地化詐欺活動日益複雜。
這些事態發展可能會顯著擴大網路犯罪集團的活動範圍,這些集團先前缺乏獨立實施高級銀行攻擊的專業知識。
敦促金融機構加強防禦策略
為了應對日益嚴重的銀行惡意軟體威脅,建議金融機構採用基於情報和行為的安全策略。建議的防禦措施包括:
- 透過行為分析監控異常進程執行、剪貼簿操作和螢幕截圖行為
- 偵測可疑的加密流量模式,包括基於HTTPS的DNS和Tor通信
- 實施嚴格的電子郵件安全控制措施,例如附件沙箱以及高風險文件類型(包括 MSI、DLL 和 EXE 檔案)的限制。
- 透過設備指紋識別、交易異常檢測和進階行為監控來加強詐欺預防計劃
隨著地下網路犯罪集團不斷加速採用和傳播 BankGhost Builder 等複雜的惡意軟體平台,採取積極主動、多層次的防禦策略仍然至關重要。
