首页 科技 > 正文

黑客组织TA505正在分发一种全新形式的恶意软件 并将其用于针对银行和零售商

一个资源充足且多产的黑客组织正在分发一种新的恶意软件,它将黑客远程桌面访问作为针对银行,零售商和企业的信息窃取活动的一部分。

自去年11月以来,ServHelper恶意软件一直处于活跃状态,并在Windows PC上安装了一个后门,为攻击者提供了对受感染计算机的远程访问。但这并不是攻击结束的地方:ServHelper还充当FlawedGrace的下载程序,FlawedGrace是 一系列木马恶意软件,最初于2017年11月出现,被称为“全功能”远程访问木马。

黑客组织TA505正在分发一种全新形式的恶意软件  并将其用于针对银行和零售商

Proofpoint的研究人员详细介绍了ServHelper和FlawedGrace的综合运动。他们将攻击归咎于TA505,这是一个网络犯罪组织,近年来发起了一些最大规模的网络攻击,如Dridex银行木马和Locky勒索软件。该集团至少自2014年以来一直活跃。

ServHelper广告系列首先通过垃圾邮件发送网络钓鱼电子邮件。这些信息是基本的,只是要求潜在受害者打开文件,通常声称与银行转账有关。但是,由于一次发送的邮件数量庞大 - 同时发送了数万封电子邮件 - 攻击者似乎相信他们可以捕获相当大比例的用户,尽管网络钓鱼攻击具有基本性质。

那些打开附件 - 并启用宏 - 的人可以在机器上安装ServHelper。研究人员指出,这种新形式的恶意软件正在积极开发中,自从它首次出现以来,几乎每一个新的活动都会添加新的命令和功能。

但ServHelper的主要功能保持不变:它可以作为后门,允许攻击者远程桌面访问受感染的设备,并允许攻击者劫持用户帐户和网络配置文件 - 为他们提供大量有关受感染受害者的信息。

然而,这并不是攻击的结束,因为ServHelper能够将另一个恶意软件下载并执行到受感染的PC上 - FlawedGrace。

FlawedGrace于2017年11月首次亮相,然后消失,并且仅作为ServHelper活动的一部分重新出现。研究人员表示,FlawedGrace已经发生了“重大发展”,它是使用面向对象和多线程编程技术构建的 - 这种技术旨在使逆向工程和分析恶意软件更加困难。

FlawedGrace的远程访问木马功能意味着它允许攻击者几乎完全控制受感染的设备。鉴于该活动如何针对银行和零售商,收购资金可能是攻击的最终目标,即通过窃取银行凭证,或使用公司凭证获取敏感信息,这些信息可以交易以获取利润。

互联网在提高人们社会活动质量的同时可能对部分互联网使用者造成伤害。我们要正确认识网络的两面性,用其所长、避其所短,发挥网络对生活的积极促进作用。把网络作为生活的补充就可以享受网络的诸多益处,以上这篇文章希望可以给大家带来有用的信息。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。