返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
银行木马Emotet现新型变种,可窃取用户金融凭证
2017-11-20 IT运维网 / 转载

      网络安全公司趋势科技(Trend Micro)研究人员于近期发现银行木马 Emotet 出现新型变种,能够规避安全检测的同时窃取银行凭证等用户敏感信息。

Emotet 又名 Geodo,是目前流行的一款银行木马,首次曝光于 2014 年 6 月,其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化,其影响规模可与 Dridex 和 Feodo 媲美。Emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发,一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。

      研究显示,黑客可通过恶意软件 Emotet 的 “dropper” 模块接口 “RunPE” 访问系统网络的基本输入输出流程、设备用户名称,以及系统上存储的特定文件。不过,由于 RunPE 的利用太过频繁,因此开发人员改用一条鲜为人知的 CreateTimerQueueTimer 接口,从而规避安全软件检测。

CreateTimerQueueTimer 是一个 Windows 应用程序编程接口(API),其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外,该 API 接口允许 Emotet 每秒执行一次操作,从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉,银行木马 Hancitor 和 VAWTRAK 早已利用该接口开展攻击活动。

      值得注意的是,若该恶意软件入侵目标设备后发现没有管理员特权,则会创建一个自启动服务以便维护其在受害设备上的持久性,重命名并重启系统后进行加密操作,随后通过  POST 请求将数据发送到指定的 C&C 服务器。

      目前,趋势科技就此次事件发布了恶意软件最新变种的“攻击指标”(IoCs),其安全研究人员 MalwareTech 随后也发表了有关 Emotet  C&C 服务器的具体细节并表示,攻击者通过被黑网站代理 C&C 服务器以规避安全监测的手法极其普遍,这些被黑网站通常都是运行多年的合法网站,就连安全公司很难将其标记为恶意服务器。

转自 HackerNews.cc

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读