压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

寫在前面的話

這些電子郵件據(jù)稱是澳大利亞跨國(guó)公司MYOB的發(fā)票，該公司為中小企業(yè)提供稅務(wù)，會(huì)計(jì)和其他商業(yè)服務(wù)軟件。但實(shí)際上，這些信件包含一個(gè)下載DanaBot銀行木馬的dropper文件，該木馬下載竊取私密和敏感信息，并將機(jī)器系統(tǒng)信息和桌面的屏幕截圖發(fā)送到命令和控制服務(wù)器。

“網(wǎng)絡(luò)犯罪分子正在瞄準(zhǔn)澳大利亞公司的受害者，并通過復(fù)雜的多階段，多組件和銀行特洛伊木馬（如DanaBot）來(lái)竊取他們的私人和敏感信息，”Trustwave研究人員周五在一篇關(guān)于該活動(dòng)的帖子中表示?！霸诖舜位顒?dòng)中，攻擊者以偽造的MYOB發(fā)票消息的形式發(fā)送有針對(duì)性的網(wǎng)絡(luò)釣魚電子郵件，發(fā)票鏈接指向托管DanaBot惡意軟件的受感染FTP服務(wù)器。”

根據(jù)Trustwave研究人員Fahim Abbasi和Diana Lopera稱，針對(duì)MYOB的澳大利亞客戶發(fā)現(xiàn)了一系列網(wǎng)絡(luò)釣魚電子郵件詐騙案。網(wǎng)絡(luò)釣魚電子郵件使用標(biāo)準(zhǔn)的類似MYOB的html發(fā)票模板來(lái)說(shuō)服用戶他們是真實(shí)的; 告訴客戶發(fā)票已到期并通過電子郵件底部的按鈕要求他們“View Invoice”。

Trustwave的威脅情報(bào)經(jīng)理SpiderLabs的Karl Sigler告訴Threatpost，犯罪分子可能購(gòu)買或者可能產(chǎn)生了他們自己的MYOB客戶名單。“鑒于人們公開分享了多少信息，特別是在社交網(wǎng)絡(luò)上，這些名單并不難獲得，”他說(shuō)。Trustwave沒有任何關(guān)于該活動(dòng)特定目標(biāo)受害者數(shù)量的信息。

有趣的是，電子郵件不是使用更常見的HTTP應(yīng)用程序?qū)訁f(xié)議進(jìn)行鏈接，而是利用指向受損FTP服務(wù)器的文件傳輸協(xié)議（FTP）（主要使用澳大利亞域）。

研究人員表示，“點(diǎn)擊這個(gè)'View Invoice(查看發(fā)票)'按鈕，我們認(rèn)為這個(gè)zip文件是從澳大利亞公司的受損FTP服務(wù)器中下下來(lái)的。FTP憑證是在' View Invoice '按鈕中嵌入的FTP鏈接中提供的。”

Sigler告訴《威脅郵報(bào)》，使用FTP是一種“奇怪的選擇”，而不是研究人員通常會(huì)看到的。“看起來(lái)犯罪分子可能會(huì)破壞一家澳大利亞公司的FTP服務(wù)器并使用它來(lái)傳播惡意軟件，”他說(shuō)。“這可能僅僅是為了方便而使用當(dāng)時(shí)可用的東西。”

從FTP服務(wù)器下載.Zip存檔。包含在.Zip存檔中的是一個(gè)JavaScript下載器，在執(zhí)行時(shí)會(huì)下載DanaBot木馬。

DanaBot，一種新型銀行特洛伊木馬

DanaBot是5月份發(fā)現(xiàn)的一種銀行木馬，它通過含有惡意url的電子郵件攻擊澳大利亞的用戶。這個(gè)木馬最初是由證據(jù)研究人員發(fā)現(xiàn)的，到目前為止，它已經(jīng)成為2018年最大的網(wǎng)絡(luò)犯罪事件之一。

“DanaBot是最新的一個(gè)惡意軟件的例子，它關(guān)注的是持久性和竊取有用的信息，這些信息后來(lái)可以被轉(zhuǎn)化成金錢，而不是要求受害者立即索取贖金，”研究人員在關(guān)于這個(gè)木馬的時(shí)候說(shuō)。“DanaBot的模塊化特性使它能夠下載額外的組件，增加了這個(gè)銀行家的靈活性和健壯的竊取和遠(yuǎn)程監(jiān)控能力?！?/p>

在最近的這次活動(dòng)中，DanaBot惡意軟件首先將一個(gè)下行加載程序文件放入磁盤并執(zhí)行它。然后下載一個(gè)主DLL(一個(gè)動(dòng)態(tài)鏈接庫(kù)，它包含代碼和數(shù)據(jù)，可以同時(shí)被多個(gè)程序使用)。

下載后，DanaBot主DLL隨后下載并解密包含各種模塊和配置文件的加密文件。DLL模塊包括VNC，竊取者，嗅探器和TOR：“從加密文件中提取的DLL的文件名揭示了攻擊者的真實(shí)意圖，”研究人員說(shuō)。“從本質(zhì)上講，這些DLL使攻擊者能夠通過VNC創(chuàng)建和控制遠(yuǎn)程主機(jī)，竊取私人和敏感信息，并通過Tor使用隱蔽通道?！?/p>

同時(shí)，五個(gè)配置文件（PInject，BitKey，BitVideo，BitFilesX和Zfilter）將使用自己的功能進(jìn)行設(shè)置。“這些文件被惡意軟件用作對(duì)受害者機(jī)器上尋找內(nèi)容的參考，”Sigler告訴《威脅郵報(bào)》。

其中包括PInject，其中包含目標(biāo)為澳大利亞銀行的Web注入配置文件。BitKey和BitVideo是另外兩個(gè)配置文件，包含機(jī)器人將監(jiān)控的加密貨幣進(jìn)程列表。BitFilesX包含機(jī)器人將監(jiān)視的加密貨幣文件列表。最后，Zfilter會(huì)搜索惡意軟件應(yīng)監(jiān)控網(wǎng)絡(luò)嗅探的進(jìn)程。

研究人員還指出，DanaBot惡意軟件似乎托管在已經(jīng)配置了“round robin DNS”的域上，該域使用多個(gè)IP來(lái)輪換流量并將其指向攻擊者控制的基礎(chǔ)架構(gòu)。

研究人員警告說(shuō)：“支持惡意軟件的基礎(chǔ)設(shè)施設(shè)計(jì)得很靈活，而惡意軟件設(shè)計(jì)得模塊化，功能分散在多個(gè)加密的組件上?！?/p>

原文地址：https://threatpost.com/danabot-trojan-targets-bank-customers-in-phishing-scam/133994/