安全企业Cofense本周披露,黑客利用伪装成eFax服务的电子邮件来传送恶意程序,借机在受害者的计算机上植入金融木马与系统远程访问工具。
根据调查,该电子邮件附带了一个ZIP压缩文件,解压缩之后为微软的Excel文件,该文本使用了Office宏,一旦激活就会用来下载及执行两个程序,一为金融木马Dridex,另一为远程系统访问工具RMS RAT。
RMS RAT其实是个合法的远程访问工具,它能够记录按钮、录制视频或麦克风、发送文件,或是操纵工具管理员与其它Windows功能。由于它是个合法工具,因此在遭到黑客利用时,并不会立即被端点保护组件封锁。
而Dridex则是个金融木马程序,它使用大量的网页注射脚本程序来危害浏览器的使用期间,Cofense观察到Dridex使用了3种形态的网页注射,一是用来藏匿或显示于特定网页上的内容,例如允许黑客插入用来验证金融帐号的个人问题;二是监控浏览器所访问的网址并下载其它文件;三则是具备强大的信息搜集能力。Dridex不只使用了自己构建的网页注射程序,也利用另一个金融木马Zeus所打造的网页注射程序,来改善自己的能力。
研究人员指出,黑客通过Dridex来窃取受害者的凭证,并借由RMS RAT来执行复杂的管理工作,以作为彼此的备用通信渠道。