Zeus Sphinx恶意软件重现,利用COVID-19救济款进行网络钓鱼

2020-04-01 19:53:02 浏览数 (2)

近期发现Zeus Sphinx银行木马程序在沉寂了三年后重新回归人们视线——以冠状病毒为主题开展网络钓鱼活动。COVID-19是目前网络攻击最为常见、最为流行的主题。

Zeus Sphinx(也称为Zloader和Terdot)是一种恶意软件,最初在2015年8月被发现,当时黑客利用这种恶意软件攻击了多个英国金融组织,这次攻击几乎完全基于Zeus v2 Trojan泄露的源代码进行的(就像Zeus Panda和Floki Bot)。

随后,利用该恶意软件的攻击便在全球范围内传播开来,从澳大利亚、巴西到北美洲,攻击者试图通过网络注入来收集金融数据,这些注入利用社会工程学说服受感染的用户分发身份验证码和凭据。

三年停滞后再次出现

现在正在进行的Zeus Sphinx活动,利用网络钓鱼电子邮件开展攻击。这些电子邮件带有恶意文件,这些恶意文件伪装成带有政府救济付款信息的文件。

IBM X-Force研究人员Amir Gandler和Limor Kessem发现:“尽管我们在2019年12月开始发现了一些Zeus Sphinx活动,但到2020年3月活动的数量才有所增加,这可能是由于Zeus Sphinx恶意软件背后的运营商进行了测试所致。”

“看来,利用当前的特殊形势,Sphinx的运营商将目光投向了等待政府救济金的人。”

(钓鱼邮件样本)

与以前的活动一样,Zeus Sphinx的运营商仍盯着美国、加拿大和澳大利亚的大型银行。

攻击者要求潜在感染用户填写.DOC或.DOCX文档形式的请求表,并声明请求表是安全的。提交后,尽管无法出门工作,这也可以使他们收到救济金维持生活。

一旦在目标计算机上打开这些恶意文档,它们将要求启用宏,安装恶意下载器,并从远程C&C服务器获取最终的有效负载,在这之后,利用Sphinx银行木马感染设备。

在感染用户系统后, Sphinx会添加几个注册表项,并将数据写入在%APPDATA%下创建的文件夹中,因此能够长期存在并保存其配置。

(创建注册表项以获得持久性)

研究人员还发现, “要进行网络注入,恶意软件补丁explorer.exe和浏览器会处理iexplorer.exe / chrome.exe / firefox.exe,但如果修复该补丁,则不具备再次自我修补的实际功能,这减少恶意程序的存在时间且不会进行版本升级”

Sphinx使用Tables 的Web控制面板进行网络注入,它会下载和感染用户匹配的银行网站自定义文件,这会让人更加信服,增加注入的成功率。

该恶意软件使用Web注入来更改银行的网站,以诱骗用户输入个人凭证和身份验证码,攻击者控制的服务器可以因此从中提取用户信息。

众多恶意软件中的一种

在COVID-19疫情期间,有许多以此为主题进行攻击的恶意软件,Sphinx也只是其中的一种。在近期一些相关的新闻中,比如联邦调查局的互联网犯罪投诉中心(IC3)警告说,网络钓鱼活动正在使用虚假的政府经济刺激措施来窃取受害者的个人信息。

0 人点赞