【暗渡陳倉】Emotet瞄準Chrome用家兩種方法提升偷信用卡機率

    銀行木馬 Emotet 早前透過 TrickBot 感染途徑回歸,最近又有新搞作,專家指 Emotet 最新利用一款信用卡資料盜竊模組,專攻瀏覽器 Chrome 用家。最特別之處是背後的黑客組織採用兩種新方法,成功提升入侵成功率。

    Emotet 在去年一月被搗破,螫伏十個月後,被發現在 11 月借用銀行木馬 TrickBot 的網絡散播病毒,並在四個月內取得分散於百多個國家的 13 萬電腦設備控制權。而在今年 6 月初,網絡安全機構 Proofpoint 專家便目擊到 Emotet 開始散播一款專門針對 Chrome 用家的惡意模組,一旦電腦受到感染,新模組便會自動盜取 Chrome 內儲存的信用卡資料。

    這次攻擊共應用了兩種技術,以增加中招機會及減低被截斷攻擊的風險。專家指出,Emotet 這次將惡意編碼藏在一個 Windows Shortcut 檔案 (.LNK) 之內。以往黑客集團慣常將將惡意編碼藏在 Office 文件檔,但由於 Microsoft 方面在四月已預設封鎖啟動檔案中的 macro 功能,因此舊方法的成功機會已大減,而新方法雖然不是原創,但成功率頗高。LNK 檔案用於指定打開檔案的程式的路徑,例如以小畫家打開各種圖像檔案等,不過,檔案的 Windows Properties 內可被加入 PowerShell 指令。在這次的攻擊中,黑客首先將 PowerShell 指令收藏在 LNK 檔案的 target 路徑上,由於 target 內的字元最長可有 260 個,但在欄目上只會顯示數十個字,令黑客可將惡意程編隱藏在眼睛看不見的地方。

    之後 Emotet 便將 LNK 檔案經釣魚電郵等渠道散播,只要有收件者打開檔案,內裡的惡意編碼便會被執行,從黑客 C&C 控制中心下載惡意負載,電腦用家未必會發現已中招。不過,黑客仍採用第二種方法減少被攔截的機會,當 Emotet 成功入侵,它會將盜取的資料發送至黑客的另一個 C&C 控制中心,因為即使第一個控制中心的 IP 被封鎖,也不會影響 Emotet 繼續執行,令病毒可持續潛伏在電腦中。要防禦這種攻擊,新一代的 Content Detect and Response 工具會深入解釋每個檔案,從中偵測可疑的部分並予以刪除,另外,提升員工安全意識亦可增加源頭阻截的成功機會。

    資料來源:https://bit.ly/3zCDEx8

    相關文章:【回馬槍】銀行木馬Emotet回歸借Trickbot網絡重新上
    https://www.wepro180.com/emotet211118/

    #BankingTrojan #Emotet #TrickBot #銀行木馬

    相關文章