黑客滥用时事发动恶意程序攻击的现象,可说是时有耳闻,最近有攻击者看上美国报税季即将到来,以发送税务有关名义的钓鱼邮件,来发动RAT木马程序攻击,进而窃取报税人计算机的敏感资料。
安全厂商Cybereason近日指出,他们看到滥用NetWire和Remcos两款木马程序的攻击行动,针对纳税人而来。由于以往美国报税的截止日期为4月15日(今年延后到5月17日),再加上美国人几乎都是通过电子表单报税──根据美国财务部统计,2019年度的个人所得税里,超过9成税收是使用电子系统申报,因此,许多的纳税人可能会在计算机里存放相关资料,而成为这些黑客觊觎的目标。
其实,滥用NetWire木马程序向美国纳税人的攻击,2020年已有相关的事故。但Cybereason研究人员指出,这一波攻击引起他们关注之处,在于黑客采用的各式回避侦测手法。例如,他们看到钓鱼邮件里附带的恶意文件文件容量相当大,约有7MB,杀毒软件很可能会略过而不扫描。
再者,则是攻击者藏匿作案工具的方式,也相当繁复。黑客事先将攻击工具NetWire或Remcos埋入图片文件,并上传到合法的图片网站Imgur。然后,攻击者再滥用合法的OpenVPN用户端应用程序,以侧载的方式在受害计算机执行恶意DLL文件,下载并植入NetWire或是Remcos,而且这些木马程序执行的方式,同样是通过合法的应用程序侧载──攻击者使用记事本程序(notepad.exe)加载这些处理程序。研究人员指出,通过这些精密的隐藏手法,他们通过VirusTotal检测钓鱼邮件里的文件文件,能发现含有恶意内容的杀毒引擎并不多,有些版本的恶意Word文件,只有3个杀毒引擎识别为有毒。
而NetWire与Remcos究竟会带来那些危害?Cybereason指出,两者都可让攻击者下载并执行额外酬载、屏幕截屏,但前者还能收集受害计算机的信息、窃取浏览器的帐密与上网记录;而后者则是允许攻击者远程执行壳层指令,以及窃取剪贴板的内容。