远程访问木马 jRAT 瞄准税务人员发起攻击

据外媒 17 日报道,垃圾邮件攻击者正在通过名为 “ IRS Updates.jar ” 与 “ Important_PDF.jar ” 的附件传播基于 Java 的远程访问木马 jRAT,主要攻击目标为税务人员。该木马一旦成功执行,攻击者即可获取被入侵终端访问权限。

互联网安全公司 Zscaler 在跟踪 jRAT 的过程中发现,上个月针对 Android 手机的部分攻击活动可能与木马 Loki 有关。Zscaler 安全研究员 Sameer Patil 表示,该恶意软件继续利用当前漏洞与相关事件引起不知情受害者注意并以此展开攻击。

2017 年 3 月,微软公布了一系列通过税务诈骗传播 Zdowbot 与 Omaneat 银行木马的网络钓鱼活动。4 月 18 日,也就是纳税期限的前一天,相关部门出示警告,为税务诈骗案高发季节再添波澜。

Patil 表示,用户一键点击即可成为 jRAT 木马受害者,使个人或企业网络陷于囹圄。据悉,jRAT 有效载荷能够从 C2 服务器接收命令,在受害者设备中下载与执行任意有效载荷,以悄悄激活相机拍摄照片的方式窥探受害者信息。尽管使用基于 Java 的 RAT 并非仅此一例,这款 RAT 与近期发现的其他 RAT(如利用 EPS 漏洞的 ROKRAT 以及针对 Android 设备的 SpyNote RAT )起到的作用形成对比。

远程访问木马 jRAT 瞄准税务人员发起攻击

Patil 指出某个 jRAT 样本利用的混淆级别——晦涩难懂、不易反编译。一旦收件人打开恶意 Java 归档( JAR )附件,VBScript 就会在 Windows “ %APPDATA% ”目录中放置一个名为 “ Retrive <Random number>.vbs ”的文件。随后,dropper 为现有防病毒软件或防火墙软件运行检查。研究人员表示,JAR 文件只是 jRAT 主文件的一个 dropper 与 decrypter,基本上包含了加密形式的 jRAT 样本。具体加密通过嵌入式 AES 密钥实现,而该 ASE 密钥则通过 RSA 密钥进行加密。

调查表明,攻击者利用包含机器人通信细节的加密配置文件与 C2 服务器进行通信,经由系统重启时自动启动的注册表项实现主机上的持久功能,通过硬编码 URL(workfromhomeplc[.]ru/dmp/PO%233555460.exe)下载其他恶意可执行文件,但 URL 在分析之时并不处于活跃状态。研究人员指出,URL 也被用于承载 Loki 木马。

上个月,多家手机制造商生产的移动设备供应链被曝发现预先安装恶意软件,其中六台设备被查出感染 Loki 木马。 Loki 木马具有持久性机制,不仅可以通过广告展示产生收益,还可以拦截 Android 设备的通信与渗透数据。

原作者:Tom Spring,译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

远程访问木马 jRAT 瞄准税务人员发起攻击

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论