圖片來源: 

Cybereason

駭客濫用時事發動惡意程式攻擊的現象,可說是時有所聞,最近有攻擊者看上美國報稅季即將到來,以寄送稅務有關名義的釣魚郵件,來發動RAT木馬程式攻擊,進而竊取報稅人電腦的敏感資料。

資安廠商Cybereason近日指出,他們看到濫用NetWire和Remcos兩款木馬程式的攻擊行動,針對納稅人而來。由於過往美國報稅的截止日期為4月15日(今年延後到5月17日),再加上美國人幾乎都是透過電子表單報稅──根據美國財務部統計,2019年度的個人所得稅裡,超過9成稅收是使用電子系統申報,因此,許多的納稅人可能會在電腦裡存放相關資料,而成為這些駭客覬覦的目標。

其實,濫用NetWire木馬程式向美國納稅人的攻擊,2020年已有相關的事故。但Cybereason研究人員指出,這一波攻擊引起他們關注之處,在於駭客採用的各式迴避偵測手法。例如,他們看到釣魚郵件裡夾帶的惡意文件檔案容量相當大,約有7MB,防毒軟體很可能會略過而不掃描。

再者,則是攻擊者藏匿作案工具的方式,也相當繁複。駭客事先將攻擊工具NetWire或Remcos埋入圖片檔案,並上傳到合法的圖片網站Imgur。然後,攻擊者再濫用合法的OpenVPN用戶端應用程式,以側載的方式在受害電腦執行惡意DLL檔案,下載並植入NetWire或是Remcos,而且這些木馬程式執行的方式,同樣是透過合法的應用程式側載──攻擊者使用記事本程式(notepad.exe)載入這些處理程序。研究人員指出,透過這些精密的隱藏手法,他們透過VirusTotal檢測釣魚郵件裡的文件檔案,能發現含有惡意內容的防毒引擎並不多,有些版本的惡意Word文件,只有3個防毒引擎識別為有毒。

而NetWire與Remcos究竟會帶來那些危害?Cybereason指出,兩者都可讓攻擊者下載並執行額外酬載、螢幕截圖,但前者還能收集受害電腦的資訊、竊取瀏覽器的帳密與上網記錄;而後者則是允許攻擊者遠端執行殼層指令,以及竊取剪貼簿的內容。


熱門新聞

Advertisement