安基网 首页 资讯 安全报 查看内容

趋势科技发现,无文件恶意软件又兴起!

2019-3-12 17:35| 投稿: lofor |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 据外媒报道,趋势科技(TrendMicro)最近发现了一种无文件的恶意软件,它通过访问用户设备的远程控制窃取在线银行凭证。除此之外,它还窃取设备和电子邮件账户数据。黑客们在设备上安装了一个名为RADMIN的黑客工具。该恶意软件主要针对巴西和台湾大银行的客户。

据外媒报道,趋势科技(TrendMicro)最近发现了一种无文件的恶意软件,它通过访问用户设备的远程控制窃取在线银行凭证。除此之外,它还窃取设备和电子邮件账户数据。黑客们在设备上安装了一个名为RADMIN的黑客工具。该恶意软件主要针对巴西和台湾大银行的客户。

无文件恶意软件是网络犯罪分子用来窃取用户网络和设备数据的一种流行策略。它与Gozi银行恶意软件一起出现,并在最新的ENISA网络趋势报告中被特意强调过。

无文件恶意软件是黑客用来访问用户设备的恶意软件,无需在设备上编写或会留下活动痕迹。使用这种方法,可执行文件不会出现在磁盘上。它使用mshta.exe等程序中已经存在的可执行文件。此外,恶意软件通常会利用Powershell。尽管名称为“无文件”,但它并不是完全没有文件。

无文件恶意软件在Kovter特洛伊木马之后变得活跃。波耐蒙研究所(Ponemon Institute)最近的一份报告显示,2018年,他们监控的攻击中有35%是无文件恶意软件攻击。

 此次针对巴西和台湾银行的恶意软件使用了多个.BAT附件打开IP地址。然后下载一个包含银行木马有效负载的PowerShell,并安装RADMIN和信息窃取器来提取用户的数据。信息窃取器还能够扫描与银行和其他相关连接相关的字符串,以确定是否针对用户。趋势科技在分析过程中没有找到被盗的数据。这些数据往往被用于欺诈活动,或在暗网上转售,以便黑客实施进一步的犯罪。

恶意软件一旦进入设备,就会下载PowerShell代码,执行并连接到其他URL,提取并重命名文件。重命名的文件仍然显示为真实文件,标记为可执行文件和图像文件。然后,当.LNK文件进入启动文件夹时,系统会重新启动几次。恶意软件会创建一个锁定界面,用户会被引导输入用户名和密码,从而凭证被窃取。凭证会被发送到命令和控制服务器,并删除跟踪。

 这种无文件的恶意软件还会在用户的设备上安装黑客工具,然后执行另一个特洛伊木马TrojanSpy.Win32.BANRAP。它打开Outlook并提取数据,再将数据发送回服务器。RADMIN安装的名为RDP Wrapper文件夹帮助黑客获得管理员权限访问系统,并隐藏用户活动。

在重新启动时,它会删除新安装的文件以再次删除其踪迹,并在为web应用程序加载木马之前用恶意的.LNK替换它们。当用户登录在线银行并将其反馈给命令和控制服务器时,它将在这里获得凭证。

无文件恶意软件将继续上升,受影响用户的数量尚不清楚。一般的无文件恶意软件经常针对银行业。预防这种恶意软件的方法是定期安装补丁。


Tag标签: 恶意软件

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手
1

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部