过去五年来, 络罪犯一直使用一种特洛伊木马恶意软件来窃取受害者的登录凭据和其他信息,该木马恶意软件已通过使用合法的Java命令掩盖其恶意行为的能力得以隐藏。
该Adwind远程访问木马(RAT) -也被称为AlienSpy和JRAT -在2013年首次出现,并提供“作为一种服务”,以谁想要使用它的凭证,键盘记录,录音和其他犯罪分子木马恶意软件对受害者的能力。
该恶意软件可以针对几个主要操作系统的用户,通常通过 络钓鱼电子邮件,受损的软件下载或恶意 站感染受害者。
现在,出现了一种新的恶意软件变种,它似乎专门针对Windows和常见的Windows应用程序(包括Internet Explorer和Outlook),以及基于Chromium的浏览器(包括Brave),后者仅于今年发布。
Menlo Security的研究人员详细介绍了 Adwind的最新版本是由JAR(Java存档)文件提供的,其恶意意图在几层打包和加密之后被掩盖,以使基于签名的检测无效。
一旦恶意软件解压缩了命令和控制服务器地址列表,Adwind将被激活并能够接收指令并将所窃取的信息发送回主机,包括银行凭证,业务应用程序登录名和浏览器中保存的所有密码。
最新版的Adwind还通过像其他Java命令一样来掩盖其行为,从而允许活动在未检测到的情况下发生。
“这就像在一百万人中涉水,试图挑出一个穿着绿色汗衫而无法看穿人们外套的人。对其存在,外观甚至最初的行为都没有任何怀疑。关于它的一切看起来很正常。” Menlo Labs的安全研究员Krishnan Subramanian说。
但是,Adwind确实以一种方式让掩码滑倒了:当它向远程服务器发送被盗的凭据时,它会使用与Java无关的命令-尽管在恶意软件将信息发送回攻击者时,损害已经完成了。
这意味着组织需要掌握 络上发生的一切,以便可以在攻击造成损害之前将其阻止–并注意系统中的意外文件。
“从检测的角度来看,必须具有良好的Web和电子邮件流量可见性。这些jRAT文件名似乎通过使用诸如“汇款”,“付款”,“建议”之类的通用财务术语具有一定的模式。在调用Java应用程序之前,请先检查它的文件名。” Subramanian说。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!