来自 安全 2022-05-06 01:10 的文章

网站安全防护_cdn集群防御_超稳定

网站安全防护_cdn集群防御_超稳定

Retefe特洛伊木马现在也针对微笑银行客户。特洛伊木马已经进化并包含新的恶意组件。

三周前,我们发布了一篇关于Retefe banking特洛伊木马的博客文章,该木马针对英国的银行客户。特洛伊木马窃取登录凭据和其他个人信息。Retefe通常通过网络钓鱼电子邮件传播。该电子邮件包含一个嵌入恶意JavaScript的文档,需要用户交互才能激活该特洛伊木马。

另一家英国银行,微笑在线银行,最近已被添加到受影响银行的列表中。

该特洛伊木马的主要行为基本保持不变,但其恶意组件除外。感染载体以及恶意证书的安装与我们在上一篇博文中报道的相同。

一旦JavaScript运行,它就会试图杀死开放的Web浏览器进程。然后安装一个假证书并更改代理自动配置URL。所有剧本都被迪安·爱德华兹·帕克弄糊涂了。此行为与以前版本的Retefe类似。

但是,JavaScript现在包含三个powershell脚本,其中两个与以前版本相同。ConfirmCert在安装rogue证书期间显示的窗口中单击"OK",AddCertFF将rogue证书添加到FireFox。InstallTP是新的powershell脚本。它下载并安装三个程序:任务调度器包装器、Tor和Proxifier。

任务调度器管理的包装器从Codeplex下载。这增加了使用对象"新对象Microsoft.Win32.TaskScheduler.TaskService"的选项,该对象稍后用于建立持久性。

Tor客户端使特洛伊木马程序能够直接访问.onion域。

Proxifier,如其网站所述,"允许不支持通过代理服务器工作的网络应用程序通过SOCKS或HTTPS代理和链运行。"

自动配置包含指向.onion域的链接,现在可以访问它,因为Tor已安装。

Tor客户端是一个控制台应用程序,如果正常执行,用户可以看到它的控制台窗口。然而,受害者看不到被感染机器上的窗口,因为Tor的窗口是隐藏的。Retefe调用ShowWindow,参数nCmdShow设置为SW_HIDE,从而对受害者隐藏窗口。

与之前版本的Retefe类似,代理配置仅适用于具有UK IP地址的系统。如果访问了以前的任何银行或新添加的银行,流量将通过恶意代理路由。此代理隐藏在Tor后面,如下所示。

当用户访问目标网站列表中的一个网站时,该网站的证书将替换为假证书。这使得攻击者能够伪装感染并获取受害者的登录凭据。下面您可以看到微笑银行网站的假版本,网吧无法防御ddos,该版本已添加此特洛伊木马。

假微笑银行网站

假微笑银行网站

假微笑银行网站

假微笑银行网站证书

新添加的powershell脚本InstallTP增加了持久性。我们可以在任务计划程序中看到两个恶意任务。它们是"AdobeFlashPlayerUpdate"和"GoogleUpdate任务",每30分钟执行一次,同时执行Tor和Proxifier。即使用户停止它们,它们也会在30分钟后重新启动。

Proxifier允许所有流量通过端口9050上本地主机上运行的Tor代理运行。它可以指定哪些目标应通过代理访问,php如何实现防御CC,哪些目标应直接访问。

例如,当我们访问api.ipify.org时,它显示我们的IP地址没有更改(操作:Direct),并且仍然位于英国,但当我们访问whatismyip.com时,它显示了一个稍微不同的结果。

当我们查看设置文件时,我们发现攻击者使用的是破解版本的Proxifier。

我们认为这不是我们最后一次看到Retefe banking特洛伊木马的发展,不仅在英国,在全球也是如此。使用假证书进行攻击的最大危险是让用户相信他们是完全安全的,因为有效的HTTPS证书是在使用中,SHAs:

SHAs:

SHAs::

使用使用中,使用使用中,使用使用中,使用使用中,使用中,使用中,使用中,使用中,使用中。使用使用中,使用中,使用中,使用中,高防cdn哪家最好,使用中,使用中,使用中,防御ddos攻击书籍,使用中,03EE6 AAAAAA87AAAAAAAAAA87CCCCC8 8 8 8 8 8 8 8 8 8 8 BBBB8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 B8 4DFA6

821EBC34F86BF680E4AACEA40FDACEB3B45B3BE9D231EF9AC261FA2FDC7549

C6E0FC6B08443A0B5D18778F93EE9EBFB7758435BAEEF284F2835552DD641EB

CE549E89D46BD5657809A129C9C02BAEE934F918888A18928F387942F15629EC

CE55C12B504DFF52867F59FAD40C3EED4A0CA13FFE301039EB538E

CE549E498CFB1958B1958EBE908E908EBE908B1958E声明:

特别感谢我的同事Jan Sirmer在这项分析中的合作。

被Ursnif银行特洛伊木马攻击的100多家意大利银行的信息由Avast Threat Labs获得,然后与尽可能多的受害者共享数据。

Avast研究人员获得信息称,Ursnif banking特洛伊木马攻击了100家意大利银行,可能有数千名受害者。

使用这些网络摄像头安全提示,保持监视眼睛和耳朵的距离。

,高防cdn云清洗