银行木马 emotet 出现新型变种,可窃取用户金融凭证、利用 windows api 检测沙箱
2017-11-20 09:45:26
据外媒 11 月 18 日报道,网络安全公司趋势科技()研究人员于近期发现银行木马 emotet 出现新型变种,能够规避安全检测的同时窃取银行凭证等用户敏感信息。
emotet 又名 geodo,是目前流行的一款银行木马,首次曝光于 2014 年 6 月,其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化,其影响规模可与 dridex 和 feodo 媲美。emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发,一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。
研究显示,黑客可通过恶意软件 emotet 的 “dropper” 模块接口 “runpe” 访问系统网络的基本输入输出流程、设备用户名称,以及系统上存储的特定文件。不过,由于 runpe 的利用太过频繁,因此开发人员改用一条鲜为人知的 createtimerqueuetimer 接口,从而规避安全软件检测。
createtimerqueuetimer 是一个 ,其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外,该 api 接口允许 emotet 每秒执行一次操作,从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉,银行木马 hancitor 和 vawtrak 早已利用该接口开展攻击活动。
值得注意的是,若该恶意软件入侵目标设备后发现没有管理员特权,则会创建一个自启动服务以便维护其在受害设备上的持久性,重命名并重启系统后进行加密操作,随后通过 post 请求将数据发送到指定的 c&c 服务器。
目前,趋势科技就此次事件发布了恶意软件最新变种的“攻击指标”(iocs),其安全研究人员 随后也发表了有关 emotet c&c 服务器的具体细节并表示,攻击者通过被黑网站代理 c&c 服务器以规避安全监测的手法极其普遍,这些被黑网站通常都是运行多年的合法网站,就连安全公司很难将其标记为恶意服务器。
原作者:pierluigi paganini,译者:青楚
本文由 翻译整理,封面来源于网络。
转载请注明“转自 hackernews.cc ” 并附上原文链接【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信