金融木马ZLoader攻击德国、澳洲银行机构

 

最近黑客发动ZLoader金融木马程序攻击，开始运用多种回避机制，手法更为隐晦、间接，以就地取材（Living Off The Land Binaries and Scripts，LOLBAS）的方式侧载执行，目标锁定德国、澳洲的银行机构。

 

过往攻击者散布金融木马的管道，多半是利用内有恶意宏的Office档案，作为钓鱼邮件进行攻击。但今年出现了较为复杂的新手法，例如，在金融木马ZLoader（也称为Terdot）近期的新攻击行动中，黑客透过合法的MSI档案来散布，并具备停用Windows内建防病毒软件的模块。

 

ZLoader是典型的金融木马,最早在2016年出现，是由另一款恶名昭彰的木马程序Zeus发展而来，原本主要是透过网页注入（Web Injection）的方式，来窃取Cookies、密码，以及上网用户的敏感信息，攻击目标是全球各地金融机构的使用者，黑客也运用ZLoader来传送Egregor、Ryuk等勒索软件，或是其他的恶意软件。但如今，攻击者执行ZLoader的方式，比起以往更加复杂。

 

1.以Google关键词广告来引诱受害者上钩

攻击者先是透过投放Google广告，锁定使用「Team viewer download」作为关键词的用户，一旦用户点选了攻击者购买的广告，就会被引导到冒牌TeamViewer的网站，下载MSI安装档案，但实际上，若是使用者执行这个档案，将会在受害计算机植入ZLoader。

 

值得留意的是，有别于许多冒名TeamViewer的恶意软件，这次攻击者提供的档案具有合法签章，除了假冒TeamViewer的安装程序（Team-Viewer.msi），研究人员发现，攻击者还利用上述的合法凭证，签署冒牌的Java插件（JavaPlug-in.msi）、Zoom（Zoom.msi），以及Discord（discord.msi）等安装软件，这4个冒牌安装程序皆无法透过VirusTotal识别为有害。

 

2.运用计算机操作系统内建工具侧载恶意软件

在使用者不疑有他执行这些冒牌安装程序之后，它们会先随机产生一些合法的档案，再透过PowerShell取得更新用的脚本（Script），接着停用Microsoft Defender所有模块，并将regsvr32、EXE可执行文件案、DLL链接库设置为例外，以便后续恶意软件的组件不会被拦截。

 

最终攻击者才会下载名为tim.exe的档案，并透过档案总管（explorer.exe），以就地取材（Living Off The Land Binaries and Scripts，LOLBAS）的方式侧载执行。这么做的目的，是要让端点侦测与响应系统（EDR）难以串连子母处理程序之间的关连。而这个tim.exe接着会产生恶意脚本tim.bat，下载ZLoader的酬载DLL档案（tim.dll）。当然，执行ZLoader的方式也是透过就地取材，由regsvr32侧载来运作。

 

什么是「就地取材（Living Off The Land）」？简单来说就是利用受害计算机所具备的现成工具，来挟带恶意软件，或是执行侦察、下载恶意软件等工作。而这样的手法，后来有资安研究人员以使用的工具型态来进行区分，其中同时运用可执行程序（Binary）和脚本（Script），或者是可执行程序与链接库（Library）的情况，被称为LOLBAS。以上述的攻击过程里，档案总管、regsvr32都是攻击者就地取材所运用的内建软件。

 

而针对ZLoader的攻击目标，在研究人员连一步分析后，发现了该恶意酬载嵌入澳洲与德国网域列表，且针对银行机构而来。至于上述攻击工具文件名的「Tim」，研究人员认为是攻击者所使用的殭尸网络名称，该公司指出，这个殭尸网络是由超过350个C2中继站所组成。

Myasiacloud亞洲雲海

網路安全防禦專家 免備案CDN解決方案

亞太高防資源 無上限防禦DDoS/CC攻擊!!

全球優質節點 中國大陸全境加速 海外加速

详情访问https://www.myasiacloud.com/clouddf

商務聯絡TG:@myasiacloud66