自2019年起,就有人一直利用一種名為drIBAN的新型網(wǎng)絡(luò)注入工具包實(shí)施金融欺詐活動(dòng)�,這次他們將目標(biāo)瞄準(zhǔn)了意大利企業(yè)銀行客戶��。
Cleafy研究人員費(fèi)德里科·瓦倫蒂尼和亞歷山德羅·斯特里諾表示:drIBAN欺詐行動(dòng)的主要目的是感染企業(yè)環(huán)境中的Windows工作站�,試圖通過改變受益人并將錢轉(zhuǎn)移到一個(gè)非法的銀行賬戶來改變受害者進(jìn)行的合法銀行轉(zhuǎn)賬。
根據(jù)這家意大利網(wǎng)絡(luò)安全公司的說法,這些銀行賬戶要么由威脅行為者自己控制����,要么由他們的附屬機(jī)構(gòu)控制,此外這些附屬機(jī)構(gòu)還會負(fù)責(zé)洗錢�����。使用網(wǎng)絡(luò)注入是一種久經(jīng)考驗(yàn)的策略����,它使惡意軟件有可能通過瀏覽器中人(MitB)攻擊的方式在客戶端注入自定義腳本,并攔截進(jìn)出服務(wù)器的流量����。
(資料圖片僅供參考)
欺詐性交易通常是通過一種叫做自動(dòng)轉(zhuǎn)賬系統(tǒng)(ATS)的技術(shù)來實(shí)現(xiàn)的����,這種技術(shù)能夠繞過銀行設(shè)置的反欺詐系統(tǒng),從受害者自己的電腦上發(fā)起未經(jīng)授權(quán)的電匯��。
多年來�,除了在企業(yè)銀行網(wǎng)絡(luò)中建立長期立足點(diǎn)外,drIBAN背后的運(yùn)營商在避免被發(fā)現(xiàn)和開發(fā)有效的社會工程策略方面變得更加精明�����。
Cleafy表示,在2021年經(jīng)典的“銀行木馬”逐步演變成了一個(gè)持續(xù)性的高級威脅���。有跡象表明����,該活動(dòng)集群與Proofpoint跟蹤的一個(gè)活動(dòng)重疊���,該活動(dòng)是由一個(gè)名為TA554的參與者于2018年發(fā)起的�����,主要針對加拿大�、意大利和英國的用戶���。
從經(jīng)過認(rèn)證的電子郵件(或PEC電子郵件)開始���,攻擊鏈會讓受害者感受到一種虛假的安全感。這些釣魚郵件通常帶有一個(gè)可執(zhí)行文件�,作為惡意軟件sLoad(又名Starslord loader)的下載程序。
sLoad是一個(gè)PowerShell加載器���,同時(shí)也是一個(gè)偵察工具���,可以從受感染的主機(jī)收集和泄露信息以達(dá)到評估目標(biāo)的最終目的����,并在認(rèn)定目標(biāo)后投放有效載荷(如Ramnit)����。
Cleafy還表示:這個(gè)富集階段可能會持續(xù)數(shù)天或數(shù)周,具體時(shí)間取決于受感染機(jī)器的數(shù)量�。數(shù)據(jù)被滲透的越多,僵尸網(wǎng)絡(luò)也會變得越穩(wěn)固�。
此外,sLoad還通過濫用合法的Windows工具(如PowerShell和BITSAdmin)來利用離線(LotL)技術(shù)作為其規(guī)避機(jī)制的一部分�。
該惡意軟件的另一個(gè)特點(diǎn)是,它能夠?qū)φ諜z查預(yù)定義的企業(yè)銀行機(jī)構(gòu)列表�,以確定被黑客攻擊的工作站是否是目標(biāo)之一,如果確定是目標(biāo)將會繼續(xù)���。
研究人員表示:所有成功通過這些步驟的人就會被僵尸網(wǎng)絡(luò)運(yùn)營商選中,被其視為后續(xù)實(shí)施銀行欺詐操作的新候選人��,然后自動(dòng)安裝名為Ramnit的木馬����,這也是最先進(jìn)的銀行木馬之一��。
參考鏈接:https://thehackernews.com/2023/05/hackers-targeting-italian-corporate.html
