天创培训:您身边的信息安全培训专家!
行业动态
特洛伊木马不仅攻击你的电脑,还留后门供黑客窃取数据

        一个资源充足且高产的黑客组织正在散布一种新的恶意软件,它将黑客远程桌面访问用于窃取银行、零售商和企业的信息。

  自去年11月以来,ServHelper恶意软件一直处于活跃状态,并在Windows PC上安装了一个后门,为攻击者提供对受感染计算机的远程访问。但这并不是攻击的终点:ServHelper还充当FlawedGrace的下载程序,FlawedGrace是一系列木马恶意软件,最初于2017年11月出现,被称为“全功能”远程访问木马。

电脑病毒
电脑病毒

  Proofpoint的研究人员详细介绍了ServHelper和FlawedGrace的综合攻击。他们认为攻击是由TA505发起的,这是一个网络犯罪组织,近年来发起了一些大规模的网络攻击,如Dridex银行木马和Locky勒索软件。

  ServHelper攻击首先通过垃圾邮件发送网络钓鱼电子邮件,这些邮件通常声称内容与银行转账有关,诱导用户点开。但是,尽管网络钓鱼成功率并不高,可每次发送的邮件数量庞大,攻击者似乎可以在这其中捕获相当大比例的用户。

  Proofpoint的主管Chris Dawson表示:“TA505通常不会使用繁琐的社交方式,而是依靠大量的邮件来寻找不知情的受害者。也就是说,即使没有复杂的社交工程,人类的好奇心以及我们快速打开的电子邮件和附件的习惯通常也足够了。”

  那些打开附件并启用宏的人会将ServHelper安装在机器上。研究人员指出,这种新形式的恶意软件正在积极开发中,自它首次出现以来,几乎每一次新的攻击都会添加新的命令和功能。

  但ServHelper的主要功能保持不变:它可以作为后门,允许攻击者远程桌面访问受感染的设备,并允许攻击者劫持用户帐户和网络配置文件,为他们提供大量有关被感染受害者的信息。

  然后,ServHelper会将另一个恶意软件FlawedGrace下载并安装到受感染的PC上。

  FlawedGrace于2017年11月首次亮相,然后消失,并且仅作为ServHelper攻击的一部分重新出现。研究人员表示,FlawedGrace已经发生了“重大改变”,它是使用面向对象和多线程编程技术构建的,这种技术是为了使逆向工程和恶意软件分析更加困难。

  FlawedGrace的远程访问木马功能意味着它允许攻击者几乎完全控制受感染的设备。鉴于该攻击针对的是银行和零售商,获取钱财可能是攻击的最终目标,即通过窃取银行凭证,或使用公司凭证获取敏感信息,这些信息可以交易以获取利润。

  据息,ServHelper和FlawedGrace攻击与2018年底出现的另一个TA505木马恶意软件攻击都处于活跃状态。该组织过去常常关注勒索软件,但现在更多地转向信息窃取,他们很可能选择散播不同形式的恶意软件,以避免被检测到并确保获得最大的回报。

  Dawson表示:“该组织多年来在其工具包中添加了各种恶意软件,并在2018年增加了RAT和加载器。”