银行木马 Emotet 出现新型变种,可窃取用户金融凭证、利用 Windows API 检测沙箱

据外媒 11 月 18 日报道,网络安全公司趋势科技(Trend Micro)研究人员于近期发现银行木马 Emotet 出现新型变种,能够规避安全检测的同时窃取银行凭证等用户敏感信息。

Emotet 又名 Geodo,是目前流行的一款银行木马,首次曝光于 2014 年 6 月,其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化,其影响规模可与 Dridex 和 Feodo 媲美。Emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发,一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。

研究显示,黑客可通过恶意软件 Emotet 的 “dropper” 模块接口 “RunPE” 访问系统网络的基本输入输出流程、设备用户名称,以及系统上存储的特定文件。不过,由于 RunPE 的利用太过频繁,因此开发人员改用一条鲜为人知的 CreateTimerQueueTimer 接口,从而规避安全软件检测。

CreateTimerQueueTimer 是一个 Windows 应用程序编程接口(API),其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外,该 API 接口允许 Emotet 每秒执行一次操作,从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉,银行木马 Hancitor 和 VAWTRAK 早已利用该接口开展攻击活动。

银行木马 Emotet 出现新型变种,可窃取用户金融凭证、利用 Windows API 检测沙箱

值得注意的是,若该恶意软件入侵目标设备后发现没有管理员特权,则会创建一个自启动服务以便维护其在受害设备上的持久性,重命名并重启系统后进行加密操作,随后通过  POST 请求将数据发送到指定的 C&C 服务器。

目前,趋势科技就此次事件发布了恶意软件最新变种的“攻击指标”(IoCs),其安全研究人员 MalwareTech 随后也发表了有关 Emotet  C&C 服务器的具体细节并表示,攻击者通过被黑网站代理 C&C 服务器以规避安全监测的手法极其普遍,这些被黑网站通常都是运行多年的合法网站,就连安全公司很难将其标记为恶意服务器。

原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行木马 Emotet 出现新型变种,可窃取用户金融凭证、利用 Windows API 检测沙箱

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论