研究人员发现了一款名为Retefe的银行木马,这款木马使用了与美国国家安全局相关的永恒之蓝exp。
跟之前使用永恒之蓝的病毒不同,这个银行木马没有用exp进行循环传播。
事实上,病毒是通过垃圾邮件传播的,而通过永恒之蓝漏洞传播的病毒版本没有exp。
永恒之蓝是一款跟NSA有关的exp,今年三月,微软发布了针对漏洞的
补丁,一个月后,
shadowbrokers公布了exp。这个漏洞利用Windows服务器消息(SMB)中的漏洞,使用445端口自动传播恶意程序。
而在今年5月的WannaCry勒索事件中,病毒作者也是使用了这款exp使得传统的勒索病毒具备蠕虫特性,因此造成了病毒广泛传播。
最近一次针对瑞士用户的攻击中,Proofpoint从收集到的部分Retefe样本中发现它也使用了永恒之蓝进行横向传播。
Retefe银行木马自2013年开始活跃,主要的攻击目标是澳大利亚、瑞士、瑞典和日本的用户。
恶意软件会把银行的流量引导到代理服务器,代理服务器往往架设在Tor网络中。
工作原理
最近,病毒往往通过垃圾邮件传播,邮件附件是一个微软office文档。利用社会工程学,攻击者会让用户下载恶意payload。
最近的攻击中,下载的payload是一个自解压的zip文件,文件里面是一个经过多重混淆的Javascript安装器。
研究代码后研究人员发现,最近的样本中包含一个新的参数,用来调用永恒之蓝exp。
这些代码参考了github上的一段poc代码,但是代码中还包含安装记录和配置细节。上周,参数被调整,只剩下了记录功能。
“永恒之蓝exp会从远程服务器下载PowerShell脚本,该服务器本身包含一个安装Retefe的嵌入式可执行文件。
Proofpoint表示,这种安装方式没有能让EternalBlue进一步横向传播的模块,因此没有进行循环传播。”
研究人员还发现,今年6月和8月的病毒版本还兼容了MacOS。
Proofpoint还指出,“虽然Retefe的传播远远不如Dridex或The Trick这样的其他银行木马,但以瑞士银行为重点,Retefe有很多高级目标。
此外,我们正在观察到病毒的针对性攻击愈发增加,随着永恒之蓝exp的加入,一旦有目标主机被入侵,就可能在网络中进一步传播。”