银行木马 Emotet 出现新型变种,可窃取用户金融凭证

admin 2022年1月6日03:54:12评论82 views字数 891阅读2分58秒阅读模式
银行木马 Emotet 出现新型变种,可窃取用户金融凭证
点击上方“安全优佳” 可以订阅哦!

网络安全公司趋势科技(Trend Micro)研究人员于近期发现银行木马 Emotet 出现新型变种,能够规避安全检测的同时窃取银行凭证等用户敏感信息。

Emotet 又名 Geodo,是目前流行的一款银行木马,首次曝光于 2014 年 6 月,其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化,其影响规模可与 Dridex 和 Feodo 媲美。Emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发,一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。

研究显示,黑客可通过恶意软件 Emotet 的 “dropper” 模块接口 “RunPE” 访问系统网络的基本输入输出流程、设备用户名称,以及系统上存储的特定文件。不过,由于 RunPE 的利用太过频繁,因此开发人员改用一条鲜为人知的 CreateTimerQueueTimer 接口,从而规避安全软件检测。

CreateTimerQueueTimer 是一个 Windows 应用程序编程接口(API),其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外,该 API 接口允许 Emotet 每秒执行一次操作,从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉,银行木马 Hancitor 和 VAWTRAK 早已利用该接口开展攻击活动。

银行木马 Emotet 出现新型变种,可窃取用户金融凭证

值得注意的是,若该恶意软件入侵目标设备后发现没有管理员特权,则会创建一个自启动服务以便维护其在受害设备上的持久性,重命名并重启系统后进行加密操作,随后通过 POST 请求将数据发送到指定的 C&C 服务器。

目前,趋势科技就此次事件发布了恶意软件最新变种的“攻击指标”(IoCs),其安全研究人员MalwareTech 随后也发表了有关 Emotet C&C 服务器的具体细节并表示,攻击者通过被黑网站代理 C&C 服务器以规避安全监测的手法极其普遍,这些被黑网站通常都是运行多年的合法网站,就连安全公司很难将其标记为恶意服务器。


银行木马 Emotet 出现新型变种,可窃取用户金融凭证

安全优佳

http://news.secwk.com

长按识别左侧二维码,关注我们


本文始发于微信公众号(安全优佳):银行木马 Emotet 出现新型变种,可窃取用户金融凭证

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日03:54:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   银行木马 Emotet 出现新型变种,可窃取用户金融凭证http://cn-sec.com/archives/527147.html

发表评论

匿名网友 填写信息