- A+
三年后,该恶意软件又回来了,它希望利用政府对冠状病毒的救济工作而获得的利益。
Zeus Sphinx银行木马在离开现场将近三年后又回来了。
根据IBM X-Force的研究人员Amir Gandler和Limor Kessem所说,Sphinx(又名Zloader或Terdot)于12月开始重新铺装。 然而,研究人员观察到3月份交易量显着增加,因为Sphinx的运营商希望利用政府救济金的利益和新闻。
研究人员解释说,Sphinx于2015年8月首次出现,是一种基于臭名昭著的Zeus银行木马泄露的源代码的模块化恶意软件。 与其他银行木马一样,Sphinx的核心功能是为在线银行站点(和其他一些服务)收集在线帐户凭据。 当受感染的用户登陆到目标在线银行门户时,Sphinx从其命令和控制(C2)服务器动态获取Web注入以修改用户看到的页面,以便用户输入的信息进入登录字段被发送给网络罪犯。
就主题而言,狮身人面像正加入以COVID-19主题的网络钓鱼和恶意垃圾邮件活动日益激烈的竞争。 在三月的竞选活动中,这些电子邮件告诉目标对象,他们需要填写附件表格才能从政府那里获得冠状病毒的救济。 X-Force周一在博客中写道 ,在最新的竞选活动中,Sphinx通过以冠状病毒为主题的电子邮件发送给了美国,加拿大和澳大利亚的受害者,这些电子邮件中装有名为“ COVID 19救济”的恶意附件。
该帖子说:“从各种各样的Office程序中,大多数是.doc或.docx文件,这些文档首先要求最终用户启用执行宏,而无意间触发了感染链的第一步。” 一旦最终用户接受并启用了这些恶意宏,脚本将开始部署,通常使用合法的,劫持的Windows进程来获取恶意软件下载器。 接下来,下载程序将与远程命令和控制(C2)服务器进行通信并获取相关的恶意软件-在这种情况下为新的Sphinx变体。”
感染常规
研究人员在分析中解释说,一旦启用了Sphinx宏,该文档将在%SYSTEMDRIVE%下创建一个恶意文件夹并将一个批处理文件写入其中。 然后,代码执行此批处理文件,然后将VBS文件写入同一文件夹。
然后,该恶意软件使用合法的WScript.exe进程执行VBS文件,该文件创建与C2服务器的通信通道。 之后,它以DLL库文件的形式下载恶意可执行文件。 此恶意DLL是Sphinx的核心可执行文件,它也被写入%SYSTEMDRIVE%下的文件夹中。
然后使用Regsvr32.exe进程执行Sphinx本身。
Gandler和Kessem说:“起初,该恶意软件创建了一个空心进程msiexec.exe,并将其代码注入其中。” “旧版本的Sphinx使用了相同的步骤进行部署。 它在%APPDATA%下创建第一个文件夹,并在其中创建一个可执行文件。 稍后,出于持久性目的,它将扩展名更改为.DLL。”
此外,该变体使用基于Web的控制面板(称为“表格”)进行Web注入的方式与其C2服务器进行通信。
研究人员说:“ Tables Web注入系统自2014年以来一直在运行,适用于针对北美和欧洲实体的Zeus型木马,并且大部分由Zeus型木马使用。” “该面板为恶意软件提供了所有必要的资源,以感染并从受感染的受害者的计算机中收集相关信息。 一旦建立了与“表格”面板的连接,Sphinx将为其网络注入获取其他JavaScript文件,以适合用户正在浏览的目标银行。 所有注入都在同一域上设置,每个银行/目标都具有特定的JS脚本。”
最后,Sphinx使用可对其进行验证的数字证书对恶意代码进行签名,从而在注入浏览器进程时使其更容易受到通用防病毒(AV)工具的监视。
研究人员称,所使用的恶意软件变体与以前在较早的活动中看到的样本仅略有不同。 例如,该恶意软件在注册表中创建了一个运行密钥,以便使用Regsrv32.exe进程触发DLL。 该恶意软件还在HKCU \ Software \ Microsoft \下创建了两个注册表配置单元,每个注册表配置单元包含一个保存其配置的一部分的密钥。
以冠状病毒为主题的活动继续进行。 其中包括恶意软件攻击 ,诱骗诱骗的URL和凭据填充欺诈。 APT团体一直将这种流行病视为诱骗传播数据泄露恶意软件的诱因 -尤其是随着越来越多的企业为了响应病毒而从家庭模型转移到工作中。 您是否遭受密码疲劳? 美国东部时间4月8日(星期三)下午2点 ,我们将 加入 Duo Security and Threatpost,探索无密码的未来。 这个免费的网络研讨会勾勒了一个未来,在这个未来中,现代身份验证标准(如WebAuthn)将大大减少对密码的依赖。 我们还将探讨与Microsoft的合作如何减少对密码的依赖。 请在这里注册,然后敢问:“ 密码被高估了吗? ”在此赞助的网络研讨会中。
