隨著近期虛擬貨幣價值下跌,連作為最大支持者之一的網絡罪犯也開始「轉陀」,之前大量加密勒索和惡意程式挖礦的情況也出現轉變,連 Locky 和 Dridex 背後的網絡罪犯也改變策略,改為針對美國本土的大型零售、餐廳和連鎖雜貨店作為攻擊的目標。
個人化設計惡意附件
研究人員警告惡名昭彰的網絡犯罪組織 TA505 正發動新一輪電郵攻擊,發送具備個人化設計的惡意程式附件,是該組織以前未曾使用過的技術。自今年11月中開始,研究人員追蹤到有電郵活動瞄準零售,如果打開電郵中的附件便會安裝遠端存取木馬程式 FlawedAmmyy 和「Remote Manipulator System」軟件。
遠端存取木馬程式 FlawedAmmyy 由常見的遠端桌面程式 Ammyy Admin 洩露的代碼所建成,Remote Manipulator System (RMS) 則是客戶端,與 TeamViewer 相似,也是遠端桌面工具。
活躍四年首次使用的技術
根據研究人員表示,TA505 就是過去兩年 Locky 和 Dridex 加密勒索程式的幕後主腦,而該組織已經活躍了四年,但是直至今年 7 月,首次發現 TA505 使用 FlawedAmmyy 遠端存取木馬程式,並廣泛地傳播載有惡意程式的檔案「SettingContent-ms」,上個月研究人員更發現攻擊活動正在散播模組惡意程式 tRat,然後在今個月初,更發現活動集中瞄準零售、雜貨和連鎖餐館,總共發送出數以萬計條訊息。
個人化惡意附件
TA505 發送的電郵看起來,與 Ricoh 品牌的打印機含的的掃瞄附件十分相似,然而這個附件附件其實是惡意程式的 Word 檔案,附件是為目標公司專門的設計,甚至載有該公司的標記在文件之內。經過研究人員的分析後發現,文件檔內含有巨集,如果啟動該功能,便會下載和執行 MSI 檔案。MSI 檔案是 Microsoft 安裝工具檔案,最常用作散播視窗更新和安裝第三方軟件的更新程式,這次則是下載 FlawedAmmyy 遠端存取木馬程式和 Remote Manipulator System 軟件。
研究人員表示,TA505 近期改變策略的動作,與其他網絡犯罪組織相似,顯示趨勢有所改變,由大規模無差別的活動變成較小規模、需要付出更多功夫、集中在下載器、遠端存取木馬、盜取資料或銀行木馬等領域。由於犯罪組織通常都「向錢看」,隨著虛擬貨幣的價值持續下跌,網絡罪犯也「還原基本步」,採用更強瞄準性能、強化社交工程和管理持續感染等「故業」,逐漸棄用漁翁撒網式的加密勒索攻擊活動。
資料來源:ThreatPost