黑客利用偽造的eFax文件傳送惡意程序

安全企業Cofense本周披露，黑客利用偽裝成eFax服務的電子郵件來傳送惡意程序，藉機在受害者的計算機上植入金融木馬與系統遠程訪問工具。

根據調查，該電子郵件附帶了一個ZIP壓縮文件，解壓縮之後為微軟的Excel文件，該文本使用了Office宏，一旦激活就會用來下載及執行兩個程序，一為金融木馬Dridex，另一為遠程系統訪問工具RMS RAT。

RMS RAT其實是個合法的遠程訪問工具，它能夠記錄按鈕、錄製視頻或麥克風、發送文件，或是操縱工具管理員與其它Windows功能。由於它是個合法工具，因此在遭到黑客利用時，並不會立即被端點保護組件封鎖。

而Dridex則是個金融木馬程序，它使用大量的網頁注射腳本程序來危害瀏覽器的使用期間，Cofense觀察到Dridex使用了3種形態的網頁注射，一是用來藏匿或顯示於特定網頁上的內容，例如允許黑客插入用來驗證金融帳號的個人問題；二是監控瀏覽器所訪問的網址並下載其它文件；三則是具備強大的信息搜集能力。Dridex不只使用了自己構建的網頁注射程序，也利用另一個金融木馬Zeus所打造的網頁注射程序，來改善自己的能力。

研究人員指出，黑客通過Dridex來竊取受害者的憑證，並藉由RMS RAT來執行複雜的管理工作，以作為彼此的備用通信渠道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！