Zeus Sphinx试图利用冠状病毒爆发送垃圾邮件

Zeus Sphinx恶意软件又回来了,运营商现在正利用对冠状病毒爆发的兴趣来传播它。

IBM X-Force的专家发现了一个使用Zeus Sphinx恶意软件(称为ZloaderTerdot)的黑客活动 ,其重点是政府救济金。

Zeus Sphinx于2015年8月首次在野外被发现。该恶意软件以具有基于Zeus v2核心代码元素的商业模块化银行木马形式出现。该恶意软件针对英国,澳大利亚,巴西和美国的金融机构;现在,宙斯狮身人面像通过以冠状病毒为主题的新运动重新聚焦于同一国家。

现在宙斯狮身人面像恶意软件又回来了,运营商正在通过垃圾邮件活动传播它,旨在窃取受害者的财务信息。

发送给受害者的垃圾邮件声称提供与 新冠病毒 暴发和政府救济金

“当前 垃圾邮件广告系列的功能是诱骗诱捕的名为“ COVID 19浮雕”的文件文件和主题行都依赖于同一主题。Sphinx的目标与过去的配置文件相同,因为它继续专注于美国,加拿大和澳大利亚的银行。” 读取 IBM Z-Force发布的分析。

在最近的冠状病毒主题活动中使用的宙斯狮身人面像变体与原始变体仅略有不同。 

垃圾邮件包括MS Word格式的表格,必须填写该表格才能获得资金,以帮助因COVID 19大流行而在家中的人们。该文档受密码保护,有可能在潜在受害者接收文档之前阻止分析,该密码已包含在电子邮件的内容中。

打开后,该文档会显示一条消息,指示受害者启用宏以查看内容,很遗憾,此操作开始了感染过程。

“一旦最终用户接受并启用了这些恶意宏,脚本将开始部署,通常使用合法的,被劫持的Windows进程来获取恶意软件下载器。” 继续该帖子。“下一步,下载程序将与远程命令和控制(C&C)服务器进行通信并获取相关的恶意软件-在这种情况下为新的Sphinx变体。”

宙斯狮身人面像的收获 坚持不懈 通过动态地将自身写入许多文件和文件夹,它还出于相同的目的创建了注册表项。

Sphinx注入后,会使用数字证书(一种常见的规避技术)对恶意代码进行签名 浏览器进程。

专家观察到,在某些情况下,网络注入仍基于Zeus v2 代码库。Zeus Sphinx将修补与Explorer和常见浏览器(包括Chrome和Mozilla Firefox)相关的进程。这样,当用户访问目标页面(例如,在线银行平台)时,恶意代码就会被触发。

“作为基于宙斯v2代码的模块化银行木马,Sphinx的核心功能是从银行和其他广泛的网站收集在线帐户凭据。” 继续职位。“当受感染的用户登陆目标页面时,它呼吁C&C服务器获取相关的Web注入,并使用它们来修改用户正在浏览的页面以包含社会工程内容,并诱使他们泄露个人信息和身份验证代码。”

专家指出,如果浏览器推送更新,则Web注入功能将可能无法“生存”。

IBM X-Force发布的报告还提供了有关威胁的技术细节,包括IoC。

不幸的是,如果您有兴趣获得有关上周观察到的攻击的信息,则以COVID19为主题的攻击的数量继续增加。

0 0 vote
Article Rating

未经允许不得转载:x-sec » Zeus Sphinx试图利用冠状病毒爆发送垃圾邮件

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x