據(jù)外媒報道，最近發(fā)現(xiàn)了一種無文件的惡意軟件，它通過訪問用戶設(shè)備的遠(yuǎn)程控制竊取在線銀行憑證。除此之外，它還竊取設(shè)備和電子郵件賬戶數(shù)據(jù)。黑客們在設(shè)備上安裝了一個名為RADMIN的黑客工具。該惡意軟件主要針對巴西和臺灣大銀行的客戶。

無文件惡意軟件是網(wǎng)絡(luò)犯罪分子用來竊取用戶網(wǎng)絡(luò)和設(shè)備數(shù)據(jù)的一種流行策略。它與Gozi銀行惡意軟件一起出現(xiàn)，并在最新的ENISA網(wǎng)絡(luò)趨勢報告中被特意強(qiáng)調(diào)過。

無文件惡意軟件是黑客用來訪問用戶設(shè)備的惡意軟件，無需在設(shè)備上編寫或會留下活動痕跡。使用這種方法，可執(zhí)行文件不會出現(xiàn)在磁盤上。它使用mshta.exe等程序中已經(jīng)存在的可執(zhí)行文件。此外，惡意軟件通常會利用Powershell。盡管名稱為“無文件”，但它并不是完全沒有文件。

無文件惡意軟件在Kovter特洛伊木馬之后變得活躍。波耐蒙研究所（Ponemon Institute）最近的一份報告顯示，2018年，他們監(jiān)控的攻擊中有35%是無文件惡意軟件攻擊。

此次針對巴西和臺灣銀行的惡意軟件使用了多個.BAT附件打開IP地址。然后下載一個包含銀行木馬有效負(fù)載的PowerShell，并安裝RADMIN和信息竊取器來提取用戶的數(shù)據(jù)。信息竊取器還能夠掃描與銀行和其他相關(guān)連接相關(guān)的字符串，以確定是否針對用戶。在分析過程中沒有找到被盜的數(shù)據(jù)。這些數(shù)據(jù)往往被用于欺詐活動，或在暗網(wǎng)上轉(zhuǎn)售，以便黑客實施進(jìn)一步的犯罪。

惡意軟件一旦進(jìn)入設(shè)備，就會下載PowerShell代碼，執(zhí)行并連接到其他URL，提取并重命名文件。重命名的文件仍然顯示為真實文件，標(biāo)記為可執(zhí)行文件和圖像文件。然后，當(dāng).LNK文件進(jìn)入啟動文件夾時，系統(tǒng)會重新啟動幾次。惡意軟件會創(chuàng)建一個鎖定界面，用戶會被引導(dǎo)輸入用戶名和密碼，從而憑證被竊取。憑證會被發(fā)送到命令和控制服務(wù)器，并刪除跟蹤。

這種無文件的惡意軟件還會在用戶的設(shè)備上安裝黑客工具，然后執(zhí)行另一個特洛伊木馬TrojanSpy.Win32.BANRAP。它打開Outlook并提取數(shù)據(jù)，再將數(shù)據(jù)發(fā)送回服務(wù)器。RADMIN安裝的名為RDP Wrapper文件夾幫助黑客獲得管理員權(quán)限訪問系統(tǒng)，并隱藏用戶活動。

在重新啟動時，它會刪除新安裝的文件以再次刪除其蹤跡，并在為web應(yīng)用程序加載木馬之前用惡意的.LNK替換它們。當(dāng)用戶登錄在線銀行并將其反饋給命令和控制服務(wù)器時，它將在這里獲得憑證。

無文件惡意軟件將繼續(xù)上升，受影響用戶的數(shù)量尚不清楚。一般的無文件惡意軟件經(jīng)常針對銀行業(yè)。預(yù)防這種惡意軟件的方法是定期安裝補(bǔ)丁。

cc

收藏 海報分享