无文件恶意软件

据外媒报道,最近发现了一种无文件的恶意软件,它通过访问用户设备的远程控制窃取在线银行凭证。除此之外,它还窃取设备和电子邮件账户数据。黑客们在设备上安装了一个名为RADMIN的黑客工具。该恶意软件主要针对巴西和台湾大银行的客户。

无文件恶意软件是网络犯罪分子用来窃取用户网络和设备数据的一种流行策略。它与Gozi银行恶意软件一起出现,并在最新的ENISA网络趋势报告中被特意强调过。

无文件恶意软件是黑客用来访问用户设备的恶意软件,无需在设备上编写或会留下活动痕迹。使用这种方法,可执行文件不会出现在磁盘上。它使用mshta.exe等程序中已经存在的可执行文件。此外,恶意软件通常会利用Powershell。尽管名称为“无文件”,但它并不是完全没有文件。

无文件恶意软件在Kovter特洛伊木马之后变得活跃。波耐蒙研究所(Ponemon Institute)最近的一份报告显示,2018年,他们监控的攻击中有35%是无文件恶意软件攻击。

此次针对巴西和台湾银行的恶意软件使用了多个.BAT附件打开IP地址。然后下载一个包含银行木马有效负载的PowerShell,并安装RADMIN和信息窃取器来提取用户的数据。信息窃取器还能够扫描与银行和其他相关连接相关的字符串,以确定是否针对用户。在分析过程中没有找到被盗的数据。这些数据往往被用于欺诈活动,或在暗网上转售,以便黑客实施进一步的犯罪。

恶意软件一旦进入设备,就会下载PowerShell代码,执行并连接到其他URL,提取并重命名文件。重命名的文件仍然显示为真实文件,标记为可执行文件和图像文件。然后,当.LNK文件进入启动文件夹时,系统会重新启动几次。恶意软件会创建一个锁定界面,用户会被引导输入用户名和密码,从而凭证被窃取。凭证会被发送到命令和控制服务器,并删除跟踪。

这种无文件的恶意软件还会在用户的设备上安装黑客工具,然后执行另一个特洛伊木马TrojanSpy.Win32.BANRAP。它打开Outlook并提取数据,再将数据发送回服务器。RADMIN安装的名为RDP Wrapper文件夹帮助黑客获得管理员权限访问系统,并隐藏用户活动。

在重新启动时,它会删除新安装的文件以再次删除其踪迹,并在为web应用程序加载木马之前用恶意的.LNK替换它们。当用户登录在线银行并将其反馈给命令和控制服务器时,它将在这里获得凭证。

无文件恶意软件将继续上升,受影响用户的数量尚不清楚。一般的无文件恶意软件经常针对银行业。预防这种恶意软件的方法是定期安装补丁。