據外媒1月6日報道,黑客濫用烏克蘭會計軟件開發商Crystal Finance Millennium (CFM)的官方網站散布惡意軟件,分發Zeus 銀行木馬新變種。Cisco Talos稱該惡意軟件通過附加在垃圾郵件上的下載程序獲取,且具有一定規模的傳播范圍。
此次攻擊發生于2017年8月烏克蘭獨立日假期前后,烏克蘭當局和企業接到了當地安全公司ISSP的網絡攻擊警報 ,用來托管惡意軟件的一個域名與烏克蘭會計軟件開發商CFM的網站有關。不僅如此,攻擊者還利用CFM網站傳播了PSCrypt勒索軟件,這是去年針對烏克蘭用戶的惡意軟件。所幸此次攻擊黑客沒有損害CFM的更新服務器,也沒有在早前的Nyetya協議中看到相同級別的訪問。
在這次攻擊中,惡意軟件負載的電子郵件中包含一個用作惡意軟件下載程序的JavaScript壓縮文件。一旦該文件打開,Javascript就會被執行,并導致系統檢索惡意軟件的playload,運行后Zeus銀行木馬病毒將會感染系統。
思科 Talos 統計:受Zeus銀行木馬新變種影響的地區
自從2011年Zeus木馬版本2.0.8.9的源代碼被泄露以來,其他威脅行為者從惡意代碼中獲得靈感,將其并入多個其他銀行木馬中。 研究人員發現此次活動發布的惡意軟件和ZeuS源代碼的泄漏版本之間就存在著代碼重用:
一旦在系統上執行,惡意軟件會執行多個操作來確定它是否在虛擬的沙箱環境中執行。 若惡意軟件沒有檢測到正在沙箱環境中運行的情況下,那么它就會采取措施來在被感染的系統上實現持久性。惡意軟件甚至會在受感染的系統上創建一個注冊表項,以確保每次重新啟動受感染設備時都會執行惡意代碼。一旦系統被感染,惡意軟件就會嘗試去接觸不同的命令和控制 ( C&C ) 服務器。
研究人員表示,大多數被惡意軟件感染的系統都位于烏克蘭和美國,烏克蘭交通運輸部管轄的PJSC Ukrtelecom公司的ISP受影響最為嚴重。影響數量達到3115個獨立IP地址、 11,925,626個信標顯示了這個惡意軟件的傳播規模。
研究人員稱越來越多的攻擊者試圖濫用受信任的軟件制造商,并以此作為在目標環境中獲得立足點的一種手段。為了部署更有效的安全控制措施來保護其網絡環境,攻擊者正在不斷改進其攻擊方法。
京公網安備 11010502049343號