圖片來源:needpix(shorturl.at/axLS6)

資安業者Cofense本周揭露,駭客利用偽裝成eFax服務的電子郵件來遞送惡意程式,藉機在受害者的電腦上植入金融木馬與系統遠端存取工具。

根據調查,此一電子郵件夾帶了一個ZIP壓縮檔,解壓縮之後為微軟的Excel文件,該文字使用了Office巨集,一旦啟用就會用來下載及執行兩個程式,一為金融木馬Dridex,另一為遠端系統存取工具RMS RAT。

RMS RAT其實是個合法的遠端存取工具,它能夠記錄按鍵、錄製視訊或麥克風、傳送檔案,或是操縱工具管理員與其它Windows功能。由於它是個合法工具,因此在遭到駭客利用時,並不會立即被端點保護套件封鎖。

而Dridex則是個金融木馬程式,它使用大量的網頁注射腳本程式來危害瀏覽器的使用期間,Cofense觀察到Dridex使用了3種型態的網頁注射,一是用來藏匿或顯示於特定網頁上的內容,例如允許駭客插入用來驗證金融帳號的個人問題;二是監控瀏覽器所造訪的網址並下載其它檔案;三則是具備強大的資訊蒐集能力。Dridex不只使用了自己建置的網頁注射程式,也利用另一個金融木馬Zeus所打造的網頁注射程式,來改善自己的能力。

研究人員指出,駭客透過Dridex來竊取受害者的憑證,並藉由RMS RAT來執行複雜的管理工作,以作為彼此的備用通訊管道。


Advertisement

更多 iThome相關內容