近日���,趨勢科技的安全專家們發(fā)現(xiàn)一種名為VAWTRAK的網(wǎng)銀木馬增長迅速�,該木馬大量使用惡意Word宏和Windows PowerShell腳本�,攻擊者們已經(jīng)利用該木馬瞄準了花旗、匯豐�����、摩根大通、美國銀行在內(nèi)的國際金融機構(gòu)����。
背景信息
2015年初,微軟惡意軟件防護中心(MMPC)發(fā)布警報���,提示大量使用宏來傳播惡意代碼的惡意軟件增長迅猛�����。MMPC的專家們發(fā)現(xiàn)���,基于宏功能的惡意軟件正在大量增加,其中最活躍的當屬惡意軟件Adnel和Tarbir���。
早在去年�,安全研究人員們就發(fā)現(xiàn)攻擊者開始使用Windows PowerShell指令shell并通過惡意宏下載器來傳播惡意軟件ROVNIX���。而現(xiàn)在���,人們則發(fā)現(xiàn)攻擊者正在使用微軟Word中的惡意宏來傳播網(wǎng)銀木馬VAWTRAK。
趨勢科技在2014年6月份首次注意到網(wǎng)銀木馬VAWTRAK利用Windows系統(tǒng)中稱為“軟件限制策略(SRP)”的特性阻止受害系統(tǒng)運行大部分的安全軟件�,這些安全軟件包括趨勢科技Antivirus、ESET��、賽門鐵克AVG��、微軟�����、因特爾等53種知名安全軟件�����。當時該網(wǎng)銀木馬瞄準了日本�����、德國�����、英國和瑞士的銀行客戶。
而近日�,攻擊者們正利用該木馬攻擊金融機構(gòu),包括美國銀行���、巴克萊銀行����、花旗銀行����、匯豐銀行、勞埃德銀行和摩根大通集團�。
木馬功能及攻擊流程
攻擊鏈以網(wǎng)絡(luò)釣魚郵件開始,用來傳播VAWTRAK網(wǎng)銀木馬的詐騙信息都經(jīng)過精心制作�����,以使得它們看起來好像來自聯(lián)邦郵件公司�。
在基于Windows宏感染的其他事例中可以觀察到,當郵件收件人打開文檔時將首先看到一些亂七八糟的符號�����,然后會提示受害者為了正確查看該消息需要啟用宏��。
在趨勢科技發(fā)布的一篇報告中說道:
收件人一旦啟用了宏�,一個批處理文件將會被植入到受害者電腦上,此外還包含有一個.VBS文件和PowerShell腳本文件��。該批處理文件用來執(zhí)行.VBS文件���,然后會提示運行PowerShell腳本,PowerShell文件最后會下載VAWTRAK木馬變種����,該木馬目前被殺毒軟件識別為“BKDR_VAWTRAK.DOKR”。
小編推薦閱讀
