数据结构
网络
关系数据库管理系统(RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法学什么是CoreBOT恶意软件?
该恶意软件的名称来源于文件的创建者,他将其命名为“core”。木马病毒通过一个会在运行CoreBot后立即离开目标系统的投放文件进行部署。为了保持存活,黑客会将代码安装到Windows注册表中。
该病毒可以窃取密码,并且模块化的插件使得开发者可以轻松添加其他功能。CoreBot目前还无法实时拦截数据,但它对电子邮件客户端、钱包、FTP客户端、私有证书和一些桌面程序构成威胁。
据安全研究人员称,复杂的银行恶意软件CoreBot正在卷土重来,通过网络钓鱼邮件攻击在线银行用户。2015年夏季,恶意的CoreBot恶意软件最为活跃。Deep Instinct的研究人员发现了一种新的、更新版本的病毒正在通过恶意垃圾邮件传播,包括Microsoft Office文档。
CoreBOT恶意软件是如何工作的?
该病毒会感染Internet Explorer、Firefox和Chrome浏览器,从而跟踪您的浏览历史记录,窃取您填写的表单,并进行网页注入。当它识别到相关网站时,表单抓取器就会启动,窃取您的个人信息。
然后启动网页注入,导致出现网络钓鱼页面,诱骗您提供更多信息。当检测到幕后实施欺诈的网络犯罪分子时,他们会使用中间人(MitM)攻击来实时控制会话。
一条“请稍候”的消息会让您保持忙碌,而黑客则建立与目标目的地的虚拟网络计算(VNC)连接。一旦进入,网络窃贼要么启动新的交易,要么劫持当前交易。
CoreBot目前连接到两个域名——**vincenzo-sorelli[.]com**和**arijoputane[.]com**,在那里下载Stealer插件。所有域名都注册在同一个居住在俄罗斯的人名下。感染还会从互联网下载恶意软件,并通过Windows Power Shell和Microsoft自动化及配置管理功能进行自我更新。
据IBM称,如果像CoreBot这样的信息窃取恶意软件感染了工作场所的终端,它可能会窃取重要网络资源的密码,或使用工作凭据从公司外部的网站窃取个人数据。
CoreBot恶意软件是如何演变的?
研究人员在意识到CoreBot恶意软件具有模块化设计时对其产生了兴趣。当时,CoreBot在恶意软件等级中属于低危险级别,只是一个简单的资料窃取程序。然而,CoreBot的独特之处在于它可以定制以适应新的机制。IBM专家认为,该恶意软件的可变性将使其在不久的将来成为更大的威胁,这一预测已经成为现实。
CoreBot感染在短短几天内发展成为一个成熟的银行木马。该恶意软件的功能随着时间的推移得到了显著增强,现在包括以下功能:
Internet Explorer、Firefox和Google Chrome浏览器的钩子;
通用的实时表单抓取;
VNC(虚拟网络计算)远程控制模块;
中间人(MitM)会话接管功能;
预先配置的目标银行的URL触发器;
独特的网页注入方法;
动态从远程服务器进行网页注入。
更新后的CoreBot版本会监控用户的互联网连接,检查受害者是否访问了任何55个目标URL中的任何一个。这些URL指向来自美国(62%)、加拿大(32%)和英国(32%)的33家金融机构的网站。
当CoreBot检测到与金融机构的连接时,它会窃取受害者的凭据,并使用加载屏幕并索取更多个人信息来拖延用户。此时,恶意软件控制器会收到银行活动的警报,并有时间与终端用户互动。从这里开始,恶意软件控制器可以控制Web会话,并使用会话cookie从受害者的帐户启动转账。
浏览量:329
