压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

寫在前面的話

這些電子郵件據(jù)稱是澳大利亞跨國公司MYOB的發(fā)票，該公司為中小企業(yè)提供稅務(wù)，會計和其他商業(yè)服務(wù)軟件。但實際上，這些信件包含一個下載DanaBot銀行木馬的dropper文件，該木馬下載竊取私密和敏感信息，并將機(jī)器系統(tǒng)信息和桌面的屏幕截圖發(fā)送到命令和控制服務(wù)器。

“網(wǎng)絡(luò)犯罪分子正在瞄準(zhǔn)澳大利亞公司的受害者，并通過復(fù)雜的多階段，多組件和銀行特洛伊木馬（如DanaBot）來竊取他們的私人和敏感信息，”Trustwave研究人員周五在一篇關(guān)于該活動的帖子中表示?！霸诖舜位顒又?，攻擊者以偽造的MYOB發(fā)票消息的形式發(fā)送有針對性的網(wǎng)絡(luò)釣魚電子郵件，發(fā)票鏈接指向托管DanaBot惡意軟件的受感染FTP服務(wù)器?！?/p>

根據(jù)Trustwave研究人員Fahim Abbasi和Diana Lopera稱，針對MYOB的澳大利亞客戶發(fā)現(xiàn)了一系列網(wǎng)絡(luò)釣魚電子郵件詐騙案。網(wǎng)絡(luò)釣魚電子郵件使用標(biāo)準(zhǔn)的類似MYOB的html發(fā)票模板來說服用戶他們是真實的; 告訴客戶發(fā)票已到期并通過電子郵件底部的按鈕要求他們“View Invoice”。

Trustwave的威脅情報經(jīng)理SpiderLabs的Karl Sigler告訴Threatpost，犯罪分子可能購買或者可能產(chǎn)生了他們自己的MYOB客戶名單?！拌b于人們公開分享了多少信息，特別是在社交網(wǎng)絡(luò)上，這些名單并不難獲得，”他說。Trustwave沒有任何關(guān)于該活動特定目標(biāo)受害者數(shù)量的信息。

有趣的是，電子郵件不是使用更常見的HTTP應(yīng)用程序?qū)訁f(xié)議進(jìn)行鏈接，而是利用指向受損FTP服務(wù)器的文件傳輸協(xié)議（FTP）（主要使用澳大利亞域）。

研究人員表示，“點擊這個'View Invoice(查看發(fā)票)'按鈕，我們認(rèn)為這個zip文件是從澳大利亞公司的受損FTP服務(wù)器中下下來的。FTP憑證是在' View Invoice '按鈕中嵌入的FTP鏈接中提供的。”

Sigler告訴《威脅郵報》，使用FTP是一種“奇怪的選擇”，而不是研究人員通常會看到的。“看起來犯罪分子可能會破壞一家澳大利亞公司的FTP服務(wù)器并使用它來傳播惡意軟件，”他說。“這可能僅僅是為了方便而使用當(dāng)時可用的東西?！?/p>

從FTP服務(wù)器下載.Zip存檔。包含在.Zip存檔中的是一個JavaScript下載器，在執(zhí)行時會下載DanaBot木馬。

DanaBot，一種新型銀行特洛伊木馬

DanaBot是5月份發(fā)現(xiàn)的一種銀行木馬，它通過含有惡意url的電子郵件攻擊澳大利亞的用戶。這個木馬最初是由證據(jù)研究人員發(fā)現(xiàn)的，到目前為止，它已經(jīng)成為2018年最大的網(wǎng)絡(luò)犯罪事件之一。

“DanaBot是最新的一個惡意軟件的例子，它關(guān)注的是持久性和竊取有用的信息，這些信息后來可以被轉(zhuǎn)化成金錢，而不是要求受害者立即索取贖金，”研究人員在關(guān)于這個木馬的時候說。“DanaBot的模塊化特性使它能夠下載額外的組件，增加了這個銀行家的靈活性和健壯的竊取和遠(yuǎn)程監(jiān)控能力?！?/p>

在最近的這次活動中，DanaBot惡意軟件首先將一個下行加載程序文件放入磁盤并執(zhí)行它。然后下載一個主DLL(一個動態(tài)鏈接庫，它包含代碼和數(shù)據(jù)，可以同時被多個程序使用)。

下載后，DanaBot主DLL隨后下載并解密包含各種模塊和配置文件的加密文件。DLL模塊包括VNC，竊取者，嗅探器和TOR：“從加密文件中提取的DLL的文件名揭示了攻擊者的真實意圖，”研究人員說。“從本質(zhì)上講，這些DLL使攻擊者能夠通過VNC創(chuàng)建和控制遠(yuǎn)程主機(jī)，竊取私人和敏感信息，并通過Tor使用隱蔽通道?！?/p>

同時，五個配置文件（PInject，BitKey，BitVideo，BitFilesX和Zfilter）將使用自己的功能進(jìn)行設(shè)置?！斑@些文件被惡意軟件用作對受害者機(jī)器上尋找內(nèi)容的參考，”Sigler告訴《威脅郵報》。

其中包括PInject，其中包含目標(biāo)為澳大利亞銀行的Web注入配置文件。BitKey和BitVideo是另外兩個配置文件，包含機(jī)器人將監(jiān)控的加密貨幣進(jìn)程列表。BitFilesX包含機(jī)器人將監(jiān)視的加密貨幣文件列表。最后，Zfilter會搜索惡意軟件應(yīng)監(jiān)控網(wǎng)絡(luò)嗅探的進(jìn)程。

研究人員還指出，DanaBot惡意軟件似乎托管在已經(jīng)配置了“round robin DNS”的域上，該域使用多個IP來輪換流量并將其指向攻擊者控制的基礎(chǔ)架構(gòu)。

研究人員警告說：“支持惡意軟件的基礎(chǔ)設(shè)施設(shè)計得很靈活，而惡意軟件設(shè)計得模塊化，功能分散在多個加密的組件上?！?/p>

原文地址：https://threatpost.com/danabot-trojan-targets-bank-customers-in-phishing-scam/133994/