研究人員發現McAfee ClickProtect遭利用散佈惡意程式。

很諷刺地,研究人員發現,McAfee垃圾郵件過濾服務竟然被用來傳送銀行木馬程式。McAfee正著手調查此事。 

McAfee ClickProtect是McAfee代管的SaaS電子郵件安全服務的一部份,專注掃瞄電子郵件內含的URL來源安全性。然而Malware Tech研究人員Jérôme Segura發現,ClickProtect掃瞄後,會將原本的URL改寫成cp.mcafee.com的網域後傳送給用戶,將不知情的用戶導向第三方網站,並且下載Word文件。 

一旦用戶下載並開啟該Word文件,就會啟動2階段感染過程,其中在第2階段植入Emotet銀行木馬程式。根據Malware Tech研究,Emotet為木馬程式Feodo的最新版本,在安裝於受害裝置後會經由寫死的IP網址連結到外部C&C伺服器,待命為外部駭客執行攻擊指令。 

外部研究人員發現該惡意連結時,McAfee並未偵測到異樣。ZDNET引述McAfee人員表示,隨後McAfee全球威脅情報小組將被植入惡意Word文件的第三方網站風險值由「低風險」調高到「高風險」,之後才將之封鎖,不讓用戶連向該網站。 

McAfee表示正在調查此事。目前為止,該連結是否出於惡意攻擊仍不得而知,但該公司表示並非刻意濫用McAfee系統的結果。


Advertisement

更多 iThome相關內容