网银木马VAWTRAK最新变种:以Word宏和PowerShell为武器,瞄准大型国际金融机构


发布人:admin分类:网络安全浏览量:34发布时间:2017-12-12

近日,趋势科技的安全专家们发现一种名为VAWTRAK的网银木马增长迅速,该木马大量使用恶意Word宏和Windows PowerShell脚本,攻击者们已经利用该木马瞄准了花旗、汇丰、摩根大通、美国银行在内的国际金融机构。

背景信息

2015年初,微软恶意软件防护中心(MMPC)发布警报,提示大量使用宏来传播恶意代码的恶意软件增长迅猛。MMPC的专家们发现,基于宏功能的恶意软件正在大量增加,其中最活跃的当属恶意软件Adnel和Tarbir。

早在去年,安全研究人员们就发现攻击者开始使用Windows PowerShell指令shell并通过恶意宏下载器来传播恶意软件ROVNIX。而现在,人们则发现攻击者正在使用微软Word中的恶意宏来传播网银木马VAWTRAK。

趋势科技在2014年6月份首次注意到网银木马VAWTRAK利用Windows系统中称为“软件限制策略(SRP)”的特性阻止受害系统运行大部分的安全软件,这些安全软件包括趋势科技Antivirus、ESET、赛门铁克AVG、微软、因特尔等53种知名安全软件。当时该网银木马瞄准了日本、德国、英国和瑞士的银行客户。

而近日,攻击者们正利用该木马攻击金融机构,包括美国银行、巴克莱银行、花旗银行、汇丰银行、劳埃德银行和摩根大通集团。

木马功能及攻击流程

攻击链以网络钓鱼邮件开始,用来传播VAWTRAK网银木马的诈骗信息都经过精心制作,以使得它们看起来好像来自联邦邮件公司。

在基于Windows宏感染的其他事例中可以观察到,当邮件收件人打开文档时将首先看到一些乱七八糟的符号,然后会提示受害者为了正确查看该消息需要启用宏。

在趋势科技发布的一篇报告中说道:

收件人一旦启用了宏,一个批处理文件将会被植入到受害者电脑上,此外还包含有一个.VBS文件和PowerShell脚本文件。该批处理文件用来执行.VBS文件,然后会提示运行PowerShell脚本,PowerShell文件最后会下载VAWTRAK木马变种,该木马目前被杀毒软件识别为“BKDR_VAWTRAK.DOKR”。

VAWTRAK网银木马能够从不同的来源窃取信息,包括微软Outlook和Windows Mail等邮件服务的登录凭证。

此外,该木马还可以从最常见的浏览器中窃取敏感数据,并能窃取文件传输协议(FTP)的客户端帐户信息,以及如FileZilla这种文件管理器软件信息。

此外,BKDR_VAWTRAK.DOKR可以绕过如一次性密码(OTP)令牌这种双因子身份验证,并且还具有像自动传输系统(ATS)这样的功能。VAWTRAK恶意软件的SSL绕过和ATS功能依赖于它接收到的配置文件,配置文件中包括注入到Web浏览器并用于ATS和SSL的脚本。

除此之外,它还能通过表单抓取、截图、站点注入等方法来窃取信息,这些目标站点包括亚马逊、Facebook、开心农场、谷歌、Gmail、雅虎邮箱和推特。

专家们强调,自从VAWTRAK木马在2013年8月份首次曝光以来,一直在不断进化,该网银木马“地位”很高,甚至可以被认为是“黑色生态圈”中的一个特权工具。

[参考来源securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21456020(PV) 页面执行时间:94.312(MS)
  • xml
  • 网站地图