银行木马 retefe 新变种通过 “永恒之蓝” 肆意感染瑞士日本等多国银行网站
2017-09-26 10:20:37
hackernews.cc 9 月 23 日消息,网络安全公司 proofpoint 研究人员近期发现黑客利用银行木马 retefe 新变种通过 nsa 漏洞 (永恒之蓝,cve-2017-0143)瞄准奥地利、瑞典、瑞士、日本等多国银行网站展开新一轮攻击活动。虽然该款木马并未达到诸如 dridex 或 zeus 等知名恶意软件的传播规模与影响范围,但它所针对的地区与实施方式却值得研究人员注意。
调查显示,与 dridex 或其他依靠网络注入劫持银行在线业务的银行木马不同,retefe 主要通过各种代理服务器(通常托管在 tor 网络上)操控路由流量或目标银行系统。此外,研究人员还观察到攻击者使用附带嵌入式 package shell objects 或 object linking、embedding objects 的恶意文档发布网络钓鱼邮件,以便感染更多银行系统。
一旦用户打开附件,该款木马就会自动触发执行 powershell 命令,旨在下载一份托管在远程服务器上的自解压缩存档。存档中包含了一个具有多条配置会话参数的 javascript 安装程序,根据研究人员的说法,其中一个参数(pseb:“pseb”)被添加执行 “永恒之蓝” 漏洞脚本。
研究人员推测,retefe 新变种的幕后黑手或将通过 eternalblue 漏洞进行更多针对性攻击活动。9 月 20 日,研究人员发现该恶意软件中的 “ pseb:”参数部分被 “ pslog:” 取代。然而,这部分模块只包含了 eternalblue 记录功能。目前,虽然尚不清楚多少网站遭受攻击,但他们在发现此类攻击活动后立即通知各银行机构,并建议他们关闭 ids 系统与防火墙的相关通信,从而预防网络钓鱼攻击活动。
原作者:pierluigi paganini, 译者:青楚
本文由 翻译整理,封面来源于网络。转载请注明“转自 hackernews.cc ” 并附上原文链接
【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信