2017042629

黑客利用合法 VMware 文件分发银行木马,南美等国银行成为首选攻击目标

  • 浏览次数 4744
  • 喜欢 0
  • 评分 12345

HackerNews.cc  10 月 1 日消息,思科研究人员近期发现黑客通过合法的 VMware 二进制文件发送网络钓鱼邮件,旨在分发银行木马感染目标设备后实施反分析技术,窃取用户敏感信息并获取非法经济利益。目前,巴西等南美银行已遭黑客攻击。

调查显示,该款银行木马由开发人员采用 Delphi 编写,其主要模块实现了多项功能,包括终止分析工具的流程、创建自启动注册表项。此外,该银行木马还利用 Web 注入操作诱导用户暴露银行登录凭据等敏感信息。

黑客发送的钓鱼邮件以发票为主题且由葡萄牙语(母语)写成,因此更容易获得当地用户信任。另外,攻击者在邮件中上传了一份附件并要求用户点击下载。然而研究人员了解到,该附件包含一条重定向至 goo.gl 的链接,用户点击之后系统将再次重定向下载另一包含 JAR 文件的压缩包,最终目标设备将执行恶意代码并安装该款银行木马。

vmware-banking-trojan

此外,这一银行木马在设置完自身“工作环境”后还将从远程服务器下载其他恶意软件。研究显示,一旦成功下载此类文件,它将被重命名后利用合法的 VMware 二进制文件进行传播,以欺骗安全程序信任。目前,研究人员提醒用户不要轻易点击未知名链接或下载未经检验的邮件并确保设备安装全方位杀毒软件以避免遭受恶意软件感染。

更多内容,请阅读来自 Talos 安全团队发布的分析报告

原作者: Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot