自2019年起����,就有人一直利用一種名為drIBAN的新型網(wǎng)絡(luò)注入工具包實施金融欺詐活動���,這次他們將目標瞄準了意大利企業(yè)銀行客戶�。
Cleafy研究人員費德里科·瓦倫蒂尼和亞歷山德羅·斯特里諾表示:drIBAN欺詐行動的主要目的是感染企業(yè)環(huán)境中的Windows工作站,試圖通過改變受益人并將錢轉(zhuǎn)移到一個非法的銀行賬戶來改變受害者進行的合法銀行轉(zhuǎn)賬�����。
根據(jù)這家意大利網(wǎng)絡(luò)安全公司的說法�,這些銀行賬戶要么由威脅行為者自己控制,要么由他們的附屬機構(gòu)控制���,此外這些附屬機構(gòu)還會負責洗錢���。使用網(wǎng)絡(luò)注入是一種久經(jīng)考驗的策略,它使惡意軟件有可能通過瀏覽器中人(MitB)攻擊的方式在客戶端注入自定義腳本�,并攔截進出服務(wù)器的流量。
(資料圖片僅供參考)
欺詐性交易通常是通過一種叫做自動轉(zhuǎn)賬系統(tǒng)(ATS)的技術(shù)來實現(xiàn)的����,這種技術(shù)能夠繞過銀行設(shè)置的反欺詐系統(tǒng),從受害者自己的電腦上發(fā)起未經(jīng)授權(quán)的電匯��。
多年來���,除了在企業(yè)銀行網(wǎng)絡(luò)中建立長期立足點外�,drIBAN背后的運營商在避免被發(fā)現(xiàn)和開發(fā)有效的社會工程策略方面變得更加精明�����。
Cleafy表示,在2021年經(jīng)典的“銀行木馬”逐步演變成了一個持續(xù)性的高級威脅�����。有跡象表明���,該活動集群與Proofpoint跟蹤的一個活動重疊��,該活動是由一個名為TA554的參與者于2018年發(fā)起的��,主要針對加拿大�����、意大利和英國的用戶����。
從經(jīng)過認證的電子郵件(或PEC電子郵件)開始����,攻擊鏈會讓受害者感受到一種虛假的安全感。這些釣魚郵件通常帶有一個可執(zhí)行文件,作為惡意軟件sLoad(又名Starslord loader)的下載程序�。
sLoad是一個PowerShell加載器�,同時也是一個偵察工具,可以從受感染的主機收集和泄露信息以達到評估目標的最終目的��,并在認定目標后投放有效載荷(如Ramnit)��。
Cleafy還表示:這個富集階段可能會持續(xù)數(shù)天或數(shù)周�����,具體時間取決于受感染機器的數(shù)量�。數(shù)據(jù)被滲透的越多,僵尸網(wǎng)絡(luò)也會變得越穩(wěn)固����。
此外,sLoad還通過濫用合法的Windows工具(如PowerShell和BITSAdmin)來利用離線(LotL)技術(shù)作為其規(guī)避機制的一部分��。
該惡意軟件的另一個特點是��,它能夠?qū)φ諜z查預(yù)定義的企業(yè)銀行機構(gòu)列表���,以確定被黑客攻擊的工作站是否是目標之一�����,如果確定是目標將會繼續(xù)�。
研究人員表示:所有成功通過這些步驟的人就會被僵尸網(wǎng)絡(luò)運營商選中,被其視為后續(xù)實施銀行欺詐操作的新候選人��,然后自動安裝名為Ramnit的木馬����,這也是最先進的銀行木馬之一。
參考鏈接:https://thehackernews.com/2023/05/hackers-targeting-italian-corporate.html
