标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-975] 作者: tomcat 发表于: [2017-11-03]
本文共 [616] 位读者顶过
11 月 1 日消息,卡巴斯基实验室研究人员近期发现黑客组织 Silence 正采用网络犯罪团伙 Carbanak 的黑客技术瞄准俄罗斯、亚美尼亚与马来西亚等国至少 10 家银行展开攻击活动。据称,该组织在使用后门程序获取目标银行持久性访问权限后开始监控员工日常操作、窃取用户敏感信息。目前,该组织已从全球各银行窃取逾 10 亿美元资金。 [出自:jiwo.org] 调查显示,此类攻击活动最早可追溯至今年 9 月,其黑客在入侵银行系统访问内部网络后获取了银行职员的重要信息,以便通过肆意分发 .chm 恶意附件开展网络钓鱼攻击活动。
诱导邮件部分内容
据悉,研究人员发现该组织利用了一种微软专有的在线帮助格式 Microsoft Compiled HTML Help(CHM)分发恶意邮件,因为 CHM 具备交互性质,可以任意运行 JavaScript 代码。对此,受害用户一旦打开 CHM 附件后,将被嵌入包含 JavaScript 代码的 .htm 文件(“start.htm”),其目标是将受害者重定向至外部恶意链接,并在自动运行有效负载后执行下一阶段操作。
start.htm 嵌入文件的一部分 随后,C&C 服务器将解压并执行恶意软件 dropper 程序,其部分负载模块将会在删除记录后帮助攻击者继续监视目标银行系统。据称,负载模块中包括一款屏幕监视器,它采用了 Windows GDI 和 API 工具通过将所有收集的位图组合在一起,从而创建了受害者活动的伪视频流。
C&C 服务器连接程序 虽然研究人员并未公布黑客组织 Silence 窃取信息的证据,但他们证实此类攻击仍在继续且普遍针对金融机构展开攻击。这是一个非常令人担忧的趋势,因为这是网络犯罪分子在攻击中取得成功的表现。目前,卡巴斯基实验室仍在继续监控此类攻击活动,并强烈建议各金融企业加强自身系统防御体系,以抵御黑客攻击活动。
|