HackerNews.cc 9 月 23 日消息,网络安全公司 ProofPoint 研究人员近期发现黑客利用银行木马 Retefe 新变种通过 NSA 漏洞 EternalBlue(永恒之蓝,CVE-2017-0143)瞄准奥地利、瑞典、瑞士、日本等多国银行网站展开新一轮攻击活动。虽然该款木马并未达到诸如 Dridex 或 Zeus 等知名恶意软件的传播规模与影响范围,但它所针对的地区与实施方式却值得研究人员注意。
调查显示,与 Dridex 或其他依靠网络注入劫持银行在线业务的银行木马不同,Retefe 主要通过各种代理服务器(通常托管在 TOR 网络上)操控路由流量或目标银行系统。此外,研究人员还观察到攻击者使用附带嵌入式 Package Shell Objects 或 Object Linking、Embedding Objects 的恶意文档发布网络钓鱼邮件,以便感染更多银行系统。
一旦用户打开附件,该款木马就会自动触发执行 PowerShell 命令,旨在下载一份托管在远程服务器上的自解压缩存档。存档中包含了一个具有多条配置会话参数的 JavaScript 安装程序,根据研究人员的说法,其中一个参数(pseb:“pseb”)被添加执行 “永恒之蓝” 漏洞脚本。
研究人员推测,Retefe 新变种的幕后黑手或将通过 EternalBlue 漏洞进行更多针对性攻击活动。9 月 20 日,研究人员发现该恶意软件中的 “ pseb:”参数部分被 “ pslog:” 取代。然而,这部分模块只包含了 EternalBlue 记录功能。目前,虽然尚不清楚多少网站遭受攻击,但他们在发现此类攻击活动后立即通知各银行机构,并建议他们关闭 IDS 系统与防火墙的相关通信,从而预防网络钓鱼攻击活动。
原作者:Pierluigi Paganini, 译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册