資料結構
網路
關係資料庫管理系統(RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法學什麼是CoreBOT惡意軟體?
該惡意軟體的名稱來源於檔案的建立者,他將其命名為“core”。木馬病毒透過一個會在執行CoreBot後立即離開目標系統的投放檔案進行部署。為了保持存活,駭客會將程式碼安裝到Windows登錄檔中。
該病毒可以竊取密碼,並且模組化的外掛使得開發者可以輕鬆新增其他功能。CoreBot目前還無法即時攔截資料,但它對電子郵件客戶端、錢包、FTP客戶端、私有證書和一些桌面程式構成威脅。
據安全研究人員稱,複雜的銀行惡意軟體CoreBot正在捲土重來,透過網路釣魚郵件攻擊線上銀行使用者。2015年夏季,惡意的CoreBot惡意軟體最為活躍。Deep Instinct的研究人員發現了一種新的、更新版本的病毒正在透過惡意垃圾郵件傳播,包括Microsoft Office文件。
CoreBOT惡意軟體是如何工作的?
該病毒會感染Internet Explorer、Firefox和Chrome瀏覽器,從而跟蹤您的瀏覽歷史記錄,竊取您填寫的表單,並進行網頁注入。當它識別到相關網站時,表單抓取器就會啟動,竊取您的個人資訊。
然後啟動網頁注入,導致出現網路釣魚頁面,誘騙您提供更多資訊。當檢測到幕後實施欺詐的網路犯罪分子時,他們會使用中間人(MitM)攻擊來即時控制會話。
一條“請稍候”的訊息會讓您保持忙碌,而駭客則建立與目標目的地的虛擬網路計算(VNC)連線。一旦進入,網路竊賊要麼啟動新的交易,要麼劫持當前交易。
CoreBot目前連線到兩個域名——**vincenzo-sorelli[.]com**和**arijoputane[.]com**,在那裡下載Stealer外掛。所有域名都註冊在同一個居住在俄羅斯的人名下。感染還會從網際網路下載惡意軟體,並透過Windows Power Shell和Microsoft自動化及配置管理功能進行自我更新。
據IBM稱,如果像CoreBot這樣的資訊竊取惡意軟體感染了工作場所的終端,它可能會竊取重要網路資源的密碼,或使用工作憑據從公司外部的網站竊取個人資料。
CoreBot惡意軟體是如何演變的?
研究人員在意識到CoreBot惡意軟體具有模組化設計時對其產生了興趣。當時,CoreBot在惡意軟體等級中屬於低危險級別,只是一個簡單的資料竊取程式。然而,CoreBot的獨特之處在於它可以定製以適應新的機制。IBM專家認為,該惡意軟體的可變性將使其在不久的將來成為更大的威脅,這一預測已經成為現實。
CoreBot感染在短短幾天內發展成為一個成熟的銀行木馬。該惡意軟體的功能隨著時間的推移得到了顯著增強,現在包括以下功能:
Internet Explorer、Firefox和Google Chrome瀏覽器的鉤子;
通用的即時表單抓取;
VNC(虛擬網路計算)遠端控制模組;
中間人(MitM)會話接管功能;
預先配置的目標銀行的URL觸發器;
獨特的網頁注入方法;
動態從遠端伺服器進行網頁注入。
更新後的CoreBot版本會監控使用者的網際網路連線,檢查受害者是否訪問了任何55個目標URL中的任何一個。這些URL指向來自美國(62%)、加拿大(32%)和英國(32%)的33家金融機構的網站。
當CoreBot檢測到與金融機構的連線時,它會竊取受害者的憑據,並使用載入螢幕並索取更多個人資訊來拖延使用者。此時,惡意軟體控制器會收到銀行活動的警報,並有時間與終端使用者互動。從這裡開始,惡意軟體控制器可以控制Web會話,並使用會話cookie從受害者的帳戶啟動轉賬。
瀏覽量:329
