木馬變種通過「永恆之藍」漏洞感染多國銀行網站

近日，據外媒報道稱，研究人員發現了第三種通過「EternalBlue」（永恆之藍）進行傳播的銀行木馬。EternalBlue是由Shadow Brokers（影子經紀人）泄漏的一個屬於美國國家安全局（NSA）的高危漏洞，該漏洞也是WannaCry和NotPetya 勒索軟體攻擊的主要驅動力。

其他兩種利用EternalBlue進行傳播的銀行木馬是今年7月份爆發的Emotet和TrickBot。這兩個銀行木馬都使用了大量的EternalBlue定製漏洞在同一網路的其他計算機上進行傳播，試圖尋找存儲有更敏感數據的計算機或感染更多受害者。

這兩種銀行木馬的「創新之舉」似乎刺激了Retefe銀行木馬背後的開發者，如今，他們也開始「如法炮製」，將EternalBlue模塊用於Retefe之中。

Retefe銀行木馬於9月5日獲得EternalBlue模塊

據網路安全公司ProofPoint的研究人員介紹，從今年9月5日開始，一款名為「Retefe」的銀行木馬一直在使用EternalBlue作為其感染程序的一部分。其目的都是相同的——攻擊者可以利用該漏洞，將初始感染升級到同一網路上的其他計算機（使用過時的SMBv1服務）中。

就像Emotet和TrickBot銀行木馬一樣，Retefe似乎已經修改了GitHub上發布的概念驗證（POC）EternalBlue漏洞利用代碼，甚至其背後的開發者還通過添加一個新組件來對它進行了改善。

Retefe——從代理劫持（proxy hijacking）、Tor到現在的EternalBlue

研究人員表示，看到Retefe開始利用EternalBlue進行傳播一點也不奇怪。與TrickBot或Dridex這種喜歡通過傳播大規模垃圾郵件進行攻擊的銀行木馬不同，Retefe和Qbot銀行木馬偏向於小規模的攻擊。ProofPoint的研究人員表示，

Retefe的攻擊目標主要是位於奧地利、瑞典、瑞士以及日本等國家的銀行客戶。該銀行木馬自2013年以來一直活躍，雖然它的攻擊規模遠不如TrickBot以及Dridex等木馬，但其獨特的攻擊方式和針對性的攻擊區域還是引起了我們的注意。

Retefe銀行木馬的攻擊方式是獨特的，它不同於Dridex等類型的木馬，需要使用hook技術在瀏覽器的合法站點上注入偽造的登錄頁面，Retefe主要依賴於修改計算機的代理伺服器設置，將某些網站的流量重定向到攻擊者的伺服器上。大多數這些伺服器都是存儲在暗網上，有助於木馬開發者隱藏其網路蹤跡，增加研究人員的追蹤難度。

【Retefe使用的代理注入（proxy injection ）示意圖】

此外，研究人員還發現，最近幾個月中，Retefe還使用Microsoft Office惡意文檔分發網路釣魚郵件，這些附件包含嵌入式的Package Shell 對象或OLE對象，它們通常顯示為Windows快捷方式「.lnk」文件。此外，附件中還包含圖像和文本，誘使受害者點擊快捷方式運行它們（如下所示）：

【Retefe使用的 Microsoft Word附件】

一旦受害者打開附件中的快捷方式便會觸發一個PowerShell執行命令，下載一個託管在遠程伺服器上的可執行有效載荷。在最新的活動中，該有效載荷是自解壓縮Zip存檔：

【用戶打開快捷方式時顯示的安全警告】

如上所述，下載的可執行文件是一個自解壓縮的Zip存檔，它包含一個多重模糊的JavaScript安裝程序，其中包含了多條配置會話參數，而其中一個參數（「pseb：」）被引用來執行「永恆之藍」漏洞腳本。

【多重模糊的JavaScript安裝程序】

Retefe銀行木馬鍾愛瑞士銀行

研究人員認為，Retefe之所以鍾愛瑞士銀行的原因在於這些銀行通常會迎合高端客戶和大型企業，因此有機會獲取更高的收益。

此外，研究人員還觀察到，Retefe背後的開發者正在展開越來越有針對性的攻擊，且有了EternalBlue漏洞的加持後，一旦初始目標被感染，便能夠輕鬆地在網路中傳播惡意軟體，擴大感染規模。

還需要特別注意的是，在WannaCry的影響下，越來越多的銀行木馬可能會使用EternalBlue進行傳播，這可能會成為2018年的威脅新趨勢。

最後，Proofpoint建議企業應該確保自身已經完全修補了EternalBlue相關的漏洞，關閉了IDS（入侵檢測系統）系統和防火牆的相關通信，並阻止了電子郵件網關中的惡意郵件（Retefe的主要攻擊向量），由此來防範自身安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章: