【新歡上場】銀行木馬TrickBot新拍檔 專家拆解勒索軟件Diavol攻擊模式
在香港地區亦非常活躍的銀行木馬病毒 TrickBot,被發現引入新的勒索軟件 Diavol,不過,Fortinet FortiGuard Labs 研究員發現,Diavol 的入侵程序同另一款勒索軟件 Conti 相似,就連勒索贖金通知亦翻炒另一款勒索軟件 Egregor ……好缺人手?
銀行木馬 TrickBot 最早見於 2016 年,它起初是一款專門攻擊 Windows 作業系統的木馬病毒,功能主要是竊取電腦內的銀行帳戶登入資料。其後 TrickBot 不斷變種,例如變成 Linux 木馬,甚至入侵開機程序,確保自己可在每次開機時被執行。TrickBot 亦試過同其他惡意軟件玩組合攻擊,例如同 Emotet 及 Ryuk 兩款惡意軟件,就曾被香港電腦保安事故協調中心 (HKCERT) 點名呼籲業界必須小心。
而從 Fortinet FortiGuard Labs 研究員發表的最新報告,可見 TrickBot 又有新變化,報告中指出 TrickBot 近期除了與勒索軟件 Conti 搭檔之外,另有一個版位會附帶新的勒索軟件 Diavol。它的特色是會將惡意編碼經反分析技術混淆化 (obfuscation) 後再放到 Bitmap 圖像內,以避過安全工具的攔截,入侵後會停止執行安全工具,同時再為受感染電腦登記一個遙距伺服器,以便下載其他惡意編碼及將資料外傳。
不過,研究員對它的加密手法有點不解,因為一般加密軟件為求盡快鎖死網絡內的電腦設備及檔案,都會採用最快的加密演算法,但 Diavol 卻反其道而行,竟採用非對稱演算法,加密速度減慢便有可能被受害者發現,對黑客來說絕對沒有優勢。
這款據稱由俄羅斯黑客組織 Wizard Spider 控制的木馬程式,為了補償美國執法機關於 2020 年打擊其僵屍網絡設備的損失,正在不停進化,相信新的攻擊方法將會陸續有來。