银行木马Retefe新变种通过“永恒之蓝” 肆意感染多国银行网站

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

    网络安全公司 ProofPoint 研究人员近期发现黑客利用银行木马 Retefe 新变种通过 NSA 漏洞 EternalBlue(永恒之蓝,CVE-2017-0143)瞄准奥地利、瑞典、瑞士、日本等多国银行网站展开新一轮攻击活动。虽然该款木马并未达到诸如 Dridex 或 Zeus 等知名恶意软件的传播规模与影响范围,但它所针对的地区与实施方式却值得研究人员注意。

    调查显示,与 Dridex 或其他依靠网络注入劫持银行在线业务的银行木马不同,Retefe 主要通过各种代理服务器(通常托管在 TOR 网络上)操控路由流量或目标银行系统。此外,研究人员还观察到攻击者使用附带嵌入式 Package Shell Objects 或 Object Linking、Embedding Objects 的恶意文档发布网络钓鱼邮件,以便感染更多银行系统。

    一旦用户打开附件,该款木马就会自动触发执行 PowerShell 命令,旨在下载一份托管在远程服务器上的自解压缩存档。存档中包含了一个具有多条配置会话参数的 JavaScript 安装程序,根据研究人员的说法,其中一个参数(pseb:“pseb”)被添加执行 “永恒之蓝” 漏洞脚本。

    研究人员推测,Retefe 新变种的幕后黑手或将通过 EternalBlue 漏洞进行更多针对性攻击活动。9 月 20 日,研究人员发现该恶意软件中的  “ pseb:”参数部分被 “ pslog:” 取代。然而,这部分模块只包含了 EternalBlue 记录功能。目前,虽然尚不清楚多少网站遭受攻击,但他们在发现此类攻击活动后立即通知各银行机构,并建议他们关闭 IDS 系统与防火墙的相关通信,从而预防网络钓鱼攻击活动。

转自 HackerNews.cc

标签: 安全 代理服务器 防火墙 服务器 脚本 漏洞 通信 网络 网络安全 网络安全公司 网站 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:结婚请帖可能变网络“炸弹” 别让恶意软件毁了你的十一假期

下一篇:通过电源管理漏洞成功入侵ARM TrustZone处理器