趨勢科技發現，無文件惡意軟體又興起！

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：趨勢科技（TrendMicro）最近發現了一種無文件惡意軟體，它通過訪問用戶設備的遠程控制竊取在線銀行憑證。預防無文件惡意軟體的方法就是定期更新補丁。

據外媒報道，趨勢科技（TrendMicro）最近發現了一種無文件的惡意軟體，它通過訪問用戶設備的遠程控制竊取在線銀行憑證。除此之外，它還竊取設備和電子郵件賬戶數據。黑客們在設備上安裝了一個名為RADMIN的黑客工具。該惡意軟體主要針對巴西和台灣大銀行的客戶。

無文件惡意軟體是網路犯罪分子用來竊取用戶網路和設備數據的一種流行策略。它與Gozi銀行惡意軟體一起出現，並在最新的ENISA網路趨勢報告中被特意強調過。

無文件惡意軟體是黑客用來訪問用戶設備的惡意軟體，無需在設備上編寫或會留下活動痕迹。使用這種方法，可執行文件不會出現在磁碟上。它使用mshta.exe等程序中已經存在的可執行文件。此外，惡意軟體通常會利用Powershell。儘管名稱為「無文件」，但它並不是完全沒有文件。

無文件惡意軟體在Kovter特洛伊木馬之後變得活躍。波耐蒙研究所（Ponemon Institute）最近的一份報告顯示，2018年，他們監控的攻擊中有35%是無文件惡意軟體攻擊。

此次針對巴西和台灣銀行的惡意軟體使用了多個.BAT附件打開IP地址。然後下載一個包含銀行木馬有效負載的PowerShell，並安裝RADMIN和信息竊取器來提取用戶的數據。信息竊取器還能夠掃描與銀行和其他相關連接相關的字元串，以確定是否針對用戶。趨勢科技在分析過程中沒有找到被盜的數據。這些數據往往被用於欺詐活動，或在暗網上轉售，以便黑客實施進一步的犯罪。

惡意軟體一旦進入設備，就會下載PowerShell代碼，執行並連接到其他URL，提取並重命名文件。重命名的文件仍然顯示為真實文件，標記為可執行文件和圖像文件。然後，當.LNK文件進入啟動文件夾時，系統會重新啟動幾次。惡意軟體會創建一個鎖定界面，用戶會被引導輸入用戶名和密碼，從而憑證被竊取。憑證會被發送到命令和控制伺服器，並刪除跟蹤。

這種無文件的惡意軟體還會在用戶的設備上安裝黑客工具，然後執行另一個特洛伊木馬TrojanSpy.Win32.BANRAP。它打開Outlook並提取數據，再將數據發送回伺服器。RADMIN安裝的名為RDP Wrapper文件夾幫助黑客獲得管理員許可權訪問系統，並隱藏用戶活動。

在重新啟動時，它會刪除新安裝的文件以再次刪除其蹤跡，並在為web應用程序載入木馬之前用惡意的.LNK替換它們。當用戶登錄在線銀行並將其反饋給命令和控制伺服器時，它將在這裡獲得憑證。

無文件惡意軟體將繼續上升，受影響用戶的數量尚不清楚。一般的無文件惡意軟體經常針對銀行業。預防這種惡意軟體的方法是定期安裝補丁。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com

推薦閱讀：

• 福利篇｜免費BigBobRoss勒索軟體解密工具發布！

• 美國傑克遜縣受勒索軟體攻擊，支付贖金40萬美元

• 為證明理念向開源轉變，微軟公布了Windows 計算器代碼！

• 智能「不可破解」的汽車報警器漏洞影響300萬車主

• 震驚！ji32k7au4a83居然是最常見且最易被盜的密碼？

• 多因素認證就一定安全了嗎？事實並非如此

▼點擊「閱讀原文」 查看更多精彩內容

喜歡記得打賞小E哦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！