RSA犯罪行動研究實驗室的主管艾維·拉夫表示，URLZone集團剛意識到自己被安全人員發(fā)現和監(jiān)控，因此，已經開始采取積極措施，防止其騾子帳戶被曝光。

拉夫解釋道：

查詢騾子帳戶的一種辦法就是利用木馬感染一臺計算機，并開始交易，這時間，欺詐者就可以看到木馬通過騾子帳戶與命令和控制服務器（C&C）進行聯(lián)系。為了試圖挫敗反詐騙安全研究人員（如我們）意圖找到真正的騾子帳戶的努力，欺詐者使用了創(chuàng)建"假騾子"的方法。欺詐者會對研究人員使用的計算機是否屬于"合法"的URLzone僵尸感染的機器的一部分進行檢查。如果計算機被認為是"外部"的，換句話說，就是犯罪分子不知道這臺機器，他們就會將假騾子帳戶提供給研究者所用的計算機。這是他們防止真正的騾子暴露的方法。

為了完成這一操作，犯罪分子在URLZone上添加了一段特殊的服務器端代碼，阻止對集團所屬真正騾子帳戶的查詢。這段代碼顯示的不是URLZone集團真正騾子帳戶的資料，取而代之的是其它不屬于該集團的騾子帳戶的信息。這段代碼顯然是URLZone最獨特的標志，說明了該犯罪集團活動相當的謹慎。

拉夫說"假騾子"模式可以確保該木馬程序的實際騾子帳戶不暴露，并在隨后被封鎖。

拉夫解釋說，對錢騾帳戶信息的鎖定帶來的變化導致一個高度有組織的盜竊計劃顯現了出來，他們憑借人為的瀏覽器攻擊來利用錢騾竊取網絡銀行帳戶中的資金。

他說，攻擊中使用的木馬現在有能力確認計算機是否在查詢來自命令和控制服務器的錢騾信息，確認它是否屬于被感染的僵尸網絡。

"如果是一臺未知計算機訪問命令和控制服務器的話，將獲得從超過400個（還在增加中）非騾子帳戶列表中的一個，以便欺騙試圖確認它們的行動，"拉夫說。

為了確認一臺機器是否屬于其"合法"感染計算機僵尸網絡的一部分，URLZone將執(zhí)行一長串的各種測試。舉例來說，其中的一項測試（如下圖所示）就是對木馬標識或由URLZone分配給每臺受感染計算機的獨特識別碼進行檢查。如果標識是無效的，命令和控制服務器將通過偽裝生成功能提供非騾子帳戶的信息。

"當研究人員試圖從被感染的計算機上追查真正的騾子帳戶時，URLZone可以識別機器是不是屬于真正僵尸網絡的一部分，然后調用GenerateFalseDrop函數，"拉夫解釋說。每次調用該函數，它就會從一大堆帳戶列表中返回一個非騾子帳戶的信息。

在生成非騾子帳戶欺騙執(zhí)法人員的時間，該木馬顯示的實際上是真正的銀行帳戶，是URLZone受害者在系統(tǒng)被感染的時間進行的合法交易的細節(jié)。

這些帳戶交易信息是木馬根據不同的標準篩選出現的，以確定他們是否可以加入假騾子帳戶列表中。只要計算機感染了木馬，受害者繼續(xù)進行網絡交易的話，URLZone就可以通過中間人攻擊偽造交易細節(jié)，越來越多的信息會被加入假騾子帳戶列表中。

kuangmin