新型木馬正在向金融機構、銀行發動大規模攻擊

導讀

   近日，ZLoader金融木馬發起一輪攻擊，目標鎖定德國、澳大利亞金融機構的用戶，通過攔截用戶對銀行門戶的Web請求來竊取銀行憑據。

   過去，攻擊者多半是利用惡意文檔分布在金融木馬上，作為釣魚郵件進行攻擊。但今年出現了更加復雜的新手法，例如金融木馬ZLoader（也稱為Terdot）近期的攻擊行動中，黑客通過合法的MSI檔案來散播，并能夠停用殺毒程序。

   ZLoader是典型的金融木馬，最早在2016年出現，功能齊全，是由另一款木馬Zeus發展而來，原理主要是透過網頁注入（Web Injection）的方式，來竊取Cookies、密碼，以及網上用戶的敏感資訊，攻擊目標是全球各地金融機構的使用者。黑客也運用ZLoader來傳送Egregor、Ryuk等勒索軟件。但如今，ZLoader的方式，比起以往更加復雜。

以Google廣告關鍵字，引誘受害者上鉤

   例如，網絡安全公司SentinelOne于9月13日，揭露最近一輪ZLoader的攻擊細節。攻擊者通過谷歌瀏覽器在搜索結果頁面上顯示的廣告，鎖定使用「Team viewer download」作為關鍵字的用戶，一旦用戶點擊購買廣告，就會被遠程控制軟件下載MSI安裝檔案，并將ZLoader植入其電腦。

   值得關注的是，和其他惡意遠程控制軟件不同的是，這次攻擊者提供的檔案竟然有合法簽章。SentinelOne指出，改檔案的合法簽章時間為今年的8月23日，是由加拿大布蘭普頓軟件公司Flyintellect Inc簽署，這家公司于6月29日登記成立，研究人員推測，該公司很可能是攻擊者為了合法憑證所設立。

   除了假冒遠程控制軟件的安裝程序（Team-Viewer.msi），研究人員發現，攻擊者還利用上述的合法憑證，簽署冒牌的Java外掛程序（JavaPlug-in.msi）、Zoom（Zoom.msi），以及Discord（discord.msi）等安裝軟體。SentinelOne指出，他們在發布此次事故的分析結果之際，這4個冒牌安裝程序皆無法透過VirusTotal網站識別為有害。

運用電腦作業系統，內建工具側載惡意程序 

    使用者在不知情的情況下安裝冒牌程序后，他們會先產生一些合法檔案，再透過PowerShell取得更新用的Script，然后停用殺毒程序，并將regsvr32、EXE設為可執行檔案，DLL程序庫設置為例外，這樣惡意程序原件就不會被攔截。最終攻擊者會下載名為tim.exe的檔案，并透過檔案總管（explorer.exe），以就地取材（Living Off The Land Binaries and Scripts，LOLBAS）的方式進行轉移。

   什么是就地取材？簡單來說就是利用被攻擊電腦所具備的現成工具，來攜帶惡意軟件，或是執行偵察、下載惡意軟件等工作。而這樣的手法，被網絡安全研究人員以使用的工具型態進行了區分，其中同時運用可執行程序（Binary）和指令碼（Script），或者是可執行程序與程序庫（Library）的情況，被稱為LOLBAS。上述攻擊過程，檔案總管、regsvr32都是攻擊者就地取材所用到的內置軟件。

而針對ZLoader的攻擊目標，在SentinelOne進一步分析后發現，該惡意軟件被嵌入在了澳洲與德國域名列表里，且主要攻擊對象為銀行。至于上述攻擊工具檔案名稱「Tim」，SentinelOne認為是攻擊者所使用的僵尸網絡名稱，該公司指出，這個僵尸網絡是由超過350個C2中繼站所組成。