自2019年起，就有人一直利用一種名為drIBAN的新型網(wǎng)絡(luò)注入工具包實(shí)施金融欺詐活動(dòng)，這次他們將目標(biāo)瞄準(zhǔn)了意大利企業(yè)銀行客戶。

Cleafy研究人員費(fèi)德里科·瓦倫蒂尼和亞歷山德羅·斯特里諾表示：drIBAN欺詐行動(dòng)的主要目的是感染企業(yè)環(huán)境中的Windows工作站，試圖通過改變受益人并將錢轉(zhuǎn)移到一個(gè)非法的銀行賬戶來改變受害者進(jìn)行的合法銀行轉(zhuǎn)賬。

根據(jù)這家意大利網(wǎng)絡(luò)安全公司的說法，這些銀行賬戶要么由威脅行為者自己控制，要么由他們的附屬機(jī)構(gòu)控制，此外這些附屬機(jī)構(gòu)還會(huì)負(fù)責(zé)洗錢。使用網(wǎng)絡(luò)注入是一種久經(jīng)考驗(yàn)的策略，它使惡意軟件有可能通過瀏覽器中人（MitB）攻擊的方式在客戶端注入自定義腳本，并攔截進(jìn)出服務(wù)器的流量。

欺詐性交易通常是通過一種叫做自動(dòng)轉(zhuǎn)賬系統(tǒng)(ATS)的技術(shù)來實(shí)現(xiàn)的，這種技術(shù)能夠繞過銀行設(shè)置的反欺詐系統(tǒng)，從受害者自己的電腦上發(fā)起未經(jīng)授權(quán)的電匯。

多年來，除了在企業(yè)銀行網(wǎng)絡(luò)中建立長期立足點(diǎn)外，drIBAN背后的運(yùn)營商在避免被發(fā)現(xiàn)和開發(fā)有效的社會(huì)工程策略方面變得更加精明。

Cleafy表示，在2021年經(jīng)典的“銀行木馬”逐步演變成了一個(gè)持續(xù)性的高級(jí)威脅。有跡象表明，該活動(dòng)集群與Proofpoint跟蹤的一個(gè)活動(dòng)重疊，該活動(dòng)是由一個(gè)名為TA554的參與者于2018年發(fā)起的，主要針對(duì)加拿大、意大利和英國的用戶。

從經(jīng)過認(rèn)證的電子郵件(或PEC電子郵件)開始，攻擊鏈會(huì)讓受害者感受到一種虛假的安全感。這些釣魚郵件通常帶有一個(gè)可執(zhí)行文件，作為惡意軟件sLoad(又名Starslord loader)的下載程序。

sLoad是一個(gè)PowerShell加載器，同時(shí)也是一個(gè)偵察工具，可以從受感染的主機(jī)收集和泄露信息以達(dá)到評(píng)估目標(biāo)的最終目的，并在認(rèn)定目標(biāo)后投放有效載荷(如Ramnit)。

Cleafy還表示：這個(gè)富集階段可能會(huì)持續(xù)數(shù)天或數(shù)周，具體時(shí)間取決于受感染機(jī)器的數(shù)量。數(shù)據(jù)被滲透的越多，僵尸網(wǎng)絡(luò)也會(huì)變得越穩(wěn)固。

此外，sLoad還通過濫用合法的Windows工具(如PowerShell和BITSAdmin)來利用離線(LotL)技術(shù)作為其規(guī)避機(jī)制的一部分。

該惡意軟件的另一個(gè)特點(diǎn)是，它能夠?qū)φ諜z查預(yù)定義的企業(yè)銀行機(jī)構(gòu)列表，以確定被黑客攻擊的工作站是否是目標(biāo)之一，如果確定是目標(biāo)將會(huì)繼續(xù)。

研究人員表示：所有成功通過這些步驟的人就會(huì)被僵尸網(wǎng)絡(luò)運(yùn)營商選中，被其視為后續(xù)實(shí)施銀行欺詐操作的新候選人，然后自動(dòng)安裝名為Ramnit的木馬，這也是最先進(jìn)的銀行木馬之一。

參考鏈接：https://thehackernews.com/2023/05/hackers-targeting-italian-corporate.html