近日,趨勢(shì)科技的安全專(zhuān)家們發(fā)現(xiàn)一種名為VAWTRAK的網(wǎng)銀木馬增長(zhǎng)迅速,該木馬大量使用惡意Word宏和Windows PowerShell腳本,攻擊者們已經(jīng)利用該木馬瞄準(zhǔn)了花旗�、匯豐、摩根大通�、美國(guó)銀行在內(nèi)的國(guó)際金融機(jī)構(gòu)�。
背景信息
2015年初�,微軟惡意軟件防護(hù)中心(MMPC)發(fā)布警報(bào),提示大量使用宏來(lái)傳播惡意代碼的惡意軟件增長(zhǎng)迅猛。MMPC的專(zhuān)家們發(fā)現(xiàn)�,基于宏功能的惡意軟件正在大量增加,其中最活躍的當(dāng)屬惡意軟件Adnel和Tarbir�。
早在去年,安全研究人員們就發(fā)現(xiàn)攻擊者開(kāi)始使用Windows PowerShell指令shell并通過(guò)惡意宏下載器來(lái)傳播惡意軟件ROVNIX�。而現(xiàn)在,人們則發(fā)現(xiàn)攻擊者正在使用微軟Word中的惡意宏來(lái)傳播網(wǎng)銀木馬VAWTRAK。
趨勢(shì)科技在2014年6月份首次注意到網(wǎng)銀木馬VAWTRAK利用Windows系統(tǒng)中稱(chēng)為“軟件限制策略(SRP)”的特性阻止受害系統(tǒng)運(yùn)行大部分的安全軟件�,這些安全軟件包括趨勢(shì)科技Antivirus�、ESET、賽門(mén)鐵克AVG�、微軟�、因特爾等53種知名安全軟件�。當(dāng)時(shí)該網(wǎng)銀木馬瞄準(zhǔn)了日本、德國(guó)�、英國(guó)和瑞士的銀行客戶(hù)。
而近日�,攻擊者們正利用該木馬攻擊金融機(jī)構(gòu),包括美國(guó)銀行、巴克萊銀行�、花旗銀行、匯豐銀行�、勞埃德銀行和摩根大通集團(tuán)。
木馬功能及攻擊流程
攻擊鏈以網(wǎng)絡(luò)釣魚(yú)郵件開(kāi)始�,用來(lái)傳播VAWTRAK網(wǎng)銀木馬的詐騙信息都經(jīng)過(guò)精心制作�,以使得它們看起來(lái)好像來(lái)自聯(lián)邦郵件公司�。
在基于Windows宏感染的其他事例中可以觀(guān)察到,當(dāng)郵件收件人打開(kāi)文檔時(shí)將首先看到一些亂七八糟的符號(hào)�,然后會(huì)提示受害者為了正確查看該消息需要啟用宏。
在趨勢(shì)科技發(fā)布的一篇報(bào)告中說(shuō)道:
收件人一旦啟用了宏,一個(gè)批處理文件將會(huì)被植入到受害者電腦上�,此外還包含有一個(gè).VBS文件和PowerShell腳本文件。該批處理文件用來(lái)執(zhí)行.VBS文件�,然后會(huì)提示運(yùn)行PowerShell腳本,PowerShell文件最后會(huì)下載VAWTRAK木馬變種�,該木馬目前被殺毒軟件識(shí)別為“BKDR_VAWTRAK.DOKR”�。
小編推薦閱讀
