freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Zeus Sphinx恶意软件重现,利用COVID-19救济款进行网络钓鱼
2020-03-31 13:58:14

近期发现Zeus Sphinx银行木马程序在沉寂了三年后重新回归人们视线——以冠状病毒为主题开展网络钓鱼活动。COVID-19是目前网络攻击最为常见、最为流行的主题。

Malware.jpg

Zeus Sphinx(也称为Zloader和Terdot)是一种恶意软件,最初在2015年8月被发现,当时黑客利用这种恶意软件攻击了多个英国金融组织,这次攻击几乎完全基于Zeus v2 Trojan泄露的源代码进行的(就像Zeus Panda和Floki Bot)。

随后,利用该恶意软件的攻击便在全球范围内传播开来,从澳大利亚、巴西到北美洲,攻击者试图通过网络注入来收集金融数据,这些注入利用社会工程学说服受感染的用户分发身份验证码和凭据。

三年停滞后再次出现

现在正在进行的Zeus Sphinx活动,利用网络钓鱼电子邮件开展攻击。这些电子邮件带有恶意文件,这些恶意文件伪装成带有政府救济付款信息的文件。

IBM X-Force研究人员Amir Gandler和Limor Kessem发现:“尽管我们在2019年12月开始发现了一些Zeus Sphinx活动,但到2020年3月活动的数量才有所增加,这可能是由于Zeus Sphinx恶意软件背后的运营商进行了测试所致。”

“看来,利用当前的特殊形势,Sphinx的运营商将目光投向了等待政府救济金的人。”

Phishing email sample(2).jpg

(钓鱼邮件样本)

与以前的活动一样,Zeus Sphinx的运营商仍盯着美国、加拿大和澳大利亚的大型银行。

攻击者要求潜在感染用户填写.DOC或.DOCX文档形式的请求表,并声明请求表是安全的。提交后,尽管无法出门工作,这也可以使他们收到救济金维持生活。

一旦在目标计算机上打开这些恶意文档,它们将要求启用宏,安装恶意下载器,并从远程C&C服务器获取最终的有效负载,在这之后,利用Sphinx银行木马感染设备。

在感染用户系统后, Sphinx会添加几个注册表项,并将数据写入在%APPDATA%下创建的文件夹中,因此能够长期存在并保存其配置。

Registry entry created to gain persistence.jpg

(创建注册表项以获得持久性)

研究人员还发现, “要进行网络注入,恶意软件补丁explorer.exe和浏览器会处理iexplorer.exe / chrome.exe / firefox.exe,但如果修复该补丁,则不具备再次自我修补的实际功能,这减少恶意程序的存在时间且不会进行版本升级”

Sphinx使用Tables 的Web控制面板进行网络注入,它会下载和感染用户匹配的银行网站自定义文件,这会让人更加信服,增加注入的成功率。

该恶意软件使用Web注入来更改银行的网站,以诱骗用户输入个人凭证和身份验证码,攻击者控制的服务器可以因此从中提取用户信息。

众多恶意软件中的一种

在COVID-19疫情期间,有许多以此为主题进行攻击的恶意软件,Sphinx也只是其中的一种。在近期一些相关的新闻中,比如联邦调查局的互联网犯罪投诉中心(IC3)警告说,网络钓鱼活动正在使用虚假的政府经济刺激措施来窃取受害者的个人信息。

IC3表示,用户为了避免中招,被恶意软件感染或窃取个人信息,不要单击不认识的人发送的链接或打开附件,确保浏览器中访问的网址合法,尽量以输入网址的方式进入网站而不是直接点击电子邮件中的嵌入超链接地址。当接到推销电话或电子邮件时,也不要提供个人敏感信息比如用户凭证和各种财务数据。

*参考来源:Bleepingcomputer,Sandra1432编译,转载请注明来自FreeBuf.COM

# 网络钓鱼 # 恶意软件 # Zeus Sphinx
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者