銀行木馬 Emotet 出現新型變種，可竊取用戶金融憑證

網路安全公司趨勢科技（Trend Micro）研究人員於近期發現銀行木馬 Emotet 出現新型變種，能夠規避安全檢測的同時竊取銀行憑證等用戶敏感信息。

Emotet 又名 Geodo，是目前流行的一款銀行木馬，首次曝光於 2014 年 6 月，其主要以 「 嗅探 」 網路活動竊取用戶私人數據聞名。隨著開發人員的不斷優化，其影響規模可與 Dridex 和 Feodo 媲美。Emotet 主要通過附帶惡意鏈接的垃圾郵件進行肆意分發，一旦用戶點擊觸發後攻擊者將可通過該惡意軟體竊取用戶重要憑證。

研究顯示，黑客可通過惡意軟體 Emotet 的 「dropper」 模塊介面 「RunPE」 訪問系統網路的基本輸入輸出流程、設備用戶名稱，以及系統上存儲的特定文件。不過，由於 RunPE 的利用太過頻繁，因此開發人員改用一條鮮為人知的CreateTimerQueueTimer介面，從而規避安全軟體檢測。

CreateTimerQueueTimer 是一個 Windows 應用程序編程介面（API），其主要為輕量級對象創建隊列以便在指定的時間內選擇回調函數。此外，該 API 介面允許 Emotet 每秒執行一次操作，從而檢測該惡意軟體是否運行於沙箱之中以規避安全監測。據悉，銀行木馬 Hancitor 和 VAWTRAK 早已利用該介面開展攻擊活動。

值得注意的是，若該惡意軟體入侵目標設備後發現沒有管理員特權，則會創建一個自啟動服務以便維護其在受害設備上的持久性，重命名並重啟系統後進行加密操作，隨後通過 POST 請求將數據發送到指定的 C＆C 伺服器。

目前，趨勢科技就此次事件發布了惡意軟體最新變種的「攻擊指標」（IoCs），其安全研究人員MalwareTech隨後也發表了有關 Emotet C＆C 伺服器的具體細節並表示，攻擊者通過被黑網站代理 C＆C 伺服器以規避安全監測的手法極其普遍，這些被黑網站通常都是運行多年的合法網站，就連安全公司很難將其標記為惡意伺服器。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 威客安全 的精彩文章: