官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
自2019年起,就有人一直利用一种名为drIBAN的新型网络注入工具包实施金融欺诈活动,这次他们将目标瞄准了意大利企业银行客户。
Cleafy研究人员费德里科·瓦伦蒂尼和亚历山德罗·斯特里诺表示:drIBAN欺诈行动的主要目的是感染企业环境中的Windows工作站,试图通过改变受益人并将钱转移到一个非法的银行账户来改变受害者进行的合法银行转账。
根据这家意大利网络安全公司的说法,这些银行账户要么由威胁行为者自己控制,要么由他们的附属机构控制,此外这些附属机构还会负责洗钱。使用网络注入是一种久经考验的策略,它使恶意软件有可能通过浏览器中人(MitB)攻击的方式在客户端注入自定义脚本,并拦截进出服务器的流量。
欺诈性交易通常是通过一种叫做自动转账系统(ATS)的技术来实现的,这种技术能够绕过银行设置的反欺诈系统,从受害者自己的电脑上发起未经授权的电汇。
多年来,除了在企业银行网络中建立长期立足点外,drIBAN背后的运营商在避免被发现和开发有效的社会工程策略方面变得更加精明。
Cleafy表示,在2021年经典的“银行木马”逐步演变成了一个持续性的高级威胁。有迹象表明,该活动集群与Proofpoint跟踪的一个活动重叠,该活动是由一个名为TA554的参与者于2018年发起的,主要针对加拿大、意大利和英国的用户。
从经过认证的电子邮件(或PEC电子邮件)开始,攻击链会让受害者感受到一种虚假的安全感。这些钓鱼邮件通常带有一个可执行文件,作为恶意软件sLoad(又名Starslord loader)的下载程序。
sLoad是一个PowerShell加载器,同时也是一个侦察工具,可以从受感染的主机收集和泄露信息以达到评估目标的最终目的,并在认定目标后投放有效载荷(如Ramnit)。
Cleafy还表示:这个富集阶段可能会持续数天或数周,具体时间取决于受感染机器的数量。数据被渗透的越多,僵尸网络也会变得越稳固。
此外,sLoad还通过滥用合法的Windows工具(如PowerShell和BITSAdmin)来利用离线(LotL)技术作为其规避机制的一部分。
该恶意软件的另一个特点是,它能够对照检查预定义的企业银行机构列表,以确定被黑客攻击的工作站是否是目标之一,如果确定是目标将会继续。
研究人员表示:所有成功通过这些步骤的人就会被僵尸网络运营商选中,被其视为后续实施银行欺诈操作的新候选人,然后自动安装名为Ramnit的木马,这也是最先进的银行木马之一。
参考链接:https://thehackernews.com/2023/05/hackers-targeting-italian-corporate.html