HawkEye Reborn v8.0 和 v9.0 是該知名鍵盤側錄惡意程式家族最新的兩個版本,目前已出現 在一些專門攻擊企業使用者的垃圾郵件當中。IBM X-Force 研究人員發現了一些攻擊案例使用該鍵盤側錄惡意程式變種來竊取帳號登入憑證與敏感資料,而這些資料又進一步被用於其他攻擊,如:盜用帳號或變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise簡稱 BEC)。除了竊取上述資訊之外,該程式還可能下載更多其他惡意程式變種至被感染的電腦。
過去,趨勢科技也曾經發現過類似的攻擊案例。趨勢科技研究人員曾在一項深度研究中發現,歹徒會利用鍵盤側錄惡意程式來找尋更大的攻擊目標,蒐集更多有關受害者的資訊 (如業務聯絡人、同事、合作夥伴等等) 以從事詐騙。在詐騙過程中,歹徒會持續監控受害使用者的公司電子郵件帳號,一旦發現有關交易付款事宜的郵件,就會從中加以攔截,提供另一個收款帳戶給付款方,好讓交易的款項直接匯入歹徒的銀行帳戶。
繼續閱讀北市某貿易公司業務經理的電郵帳號遭仿冒,宣稱上游供應商要求變更匯款帳戶,逕行匯款,損失折合台幣近百萬元。這就是近年相當猖獗的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC),報導指出,光是去年一年,美國聯邦調查局就接到超過1萬2千件投訴,被害金額約台幣110億元;而國內去年受害報案件數也有55件,被騙金額超過6千萬元,平均每件財損超過百萬元,今年1至5月也已發生26件。
美國聯邦調查局(FBI)將商務電子郵件詐騙(BEC)定義成針對與外國供應商合作企業或經常進行匯款支付企業的精密騙局。原本稱為Man-in-the-Email詐騙,這些詐騙會侵入公開的企業郵件帳號來進行非授權的轉帳。根據美國聯邦調查局指出,在2013年10月到2015年8月間,BEC詐騙已經造成美國受害者將近7.5億美元的損失,影響超過7,000人。全球網路犯罪份子從美國以外的受害者詐騙了超過5,000萬美元。
BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚(Phishing)手法達成,不過,駭客為了讓人更容易上鉤,改為直接內嵌多家郵件服務的HTML網頁。相關文章:變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!
本部落格曾分享過網路犯罪個體戶崛起,HawkEye 鍵盤側錄程式,攔截台灣在內的中小企業交易資料,本文將更進一步說明這類企業郵件詐騙運作方法與防禦之道。
在過去兩年來,詐騙分子入侵企業正式電子郵件帳號並利用這些帳號進行詐欺性轉帳,從這些企業身上竊取了數百萬美元。在2015年1月,網路犯罪申訴中心(IC3)和美國聯邦調查局發表一個公開聲明,警告針對外國供應商合作企業的一種「精密騙局」。顯然地,跟商務/企業電子郵件詐騙(Business Email Compromise,BEC)相關的電腦入侵事件在成長,詐騙者偽裝成高階主管,從看似合法的來源寄送釣魚郵件,要求匯款至詐騙用帳戶。這些手法最終導致成功的入侵及可以不受阻礙地存取受害者憑證。
什麼是商務電子郵件詐騙?
美國聯邦調查局(FBI)將企業郵件受駭(BEC)定義成針對與外國供應商合作企業或經常進行匯款支付企業的精密騙局。原本稱為Man-in-the-Email詐騙,這些詐騙會侵入公開的企業郵件帳號來進行非授權的轉帳。根據美國聯邦調查局指出,在2013年10月到2015年8月間,BEC詐騙已經造成美國受害者將近7.5億美元的損失,影響超過7,000人。全球網路犯罪份子從美國以外的受害者詐騙了超過5,000萬美元。
更新: 2016年變臉詐騙造成逾30 億美元損失.受害企業高達 22,000 家(內有完整報告)
它如何運作?
BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚(Phishing)手法達成,攻擊者會建立類似目標公司的網域或偽造的電子郵件來誘騙目標提供帳號資料。在監控受駭電子郵件帳號時,詐騙者會試著找出進行轉帳及要求轉帳的對象。詐騙者通常會進行相當的研究,尋找財務高階主管變動的公司,高階主管正在旅行的公司或是進行投資人電話會議來製造機會以進行騙局。
BEC詐騙有三種手法:
第一個手法: 透過偽造的郵件、電話或傳真要求匯款給另一個詐騙用帳戶
這個手法也被稱為「偽造發票騙局」、「供應商詐騙」和「發票變造騙局」,通常跟有供應商關係的企業有關。詐騙者透過偽造的郵件、電話或傳真要求匯款給另一個詐騙用帳戶。
第二個手法: 詐騙者自稱為高階主管(CFO、CEO、CTO等)、律師或其他類型的法定代表 繼續閱讀
趨勢科技最近發現 ROVNIX 惡意軟體家族能夠透過巨集下載器來散播。這種惡意伎倆之前在DRIDEX惡意軟體上見到,它以使用相同招數著稱。DRIDEX同時也是CRIDEX銀行惡意軟體的後繼者。
雖然感染方式相當古老,網路犯罪分子了解使用惡意巨集也能夠達到想要的目的 – 甚至可以對抗複雜的防禦措施。
ROVNIX惡意軟體行為
根據趨勢科技的分析,ROVNIX會將 rootkit 驅動程式寫入 NTFS 磁碟機未分割的空間。這可以有效地隱藏該驅動程式,因為這個未分割空間不會被作業系統和安全產品所看到。
為了載入惡意驅動程式,ROVNIX會修改IPL的內容。這程式碼被修改以讓惡意rootkit驅動程式在作業系統前被載入。這做法主要有兩個目的:逃避偵測,並且在Windows 7及之後的版本載入未簽章過的驅動程式。
ROXNIX感染鏈
在此攻擊中,惡意文件包含一個社交工程誘餌,特製成來自微軟Office的假通知來指示使用者啟用巨集設定。
圖1、帶有惡意巨集文件的螢幕截圖
啟用巨集會去執行惡意巨集程式碼,被偵測為W97M_DLOADER.AI。這個惡意巨集和之前CRIDEX所用的不同之處在於ROXNIX有加上密碼保護。這讓分析此惡意軟體變得困難,因為沒有密碼或特殊工具就無法檢視或打開巨集。
圖2、惡意巨集ROVNIX需要密碼
圖3、該腳本的程式碼片段
這個惡意軟體腳本使用簡單的字串拼接和多個變數替換,企圖混淆程式碼以躲避防毒偵測。當巨集被執行,會植入三個不同類型的隱藏腳本,包括一個Windows PowerShell腳本。這策略意味著網路犯罪分子會去針對Windows 7,開始預設安裝了Windows PowerShell。
圖4、W97M_DLOADER.AI植入的檔案
名為adobeacd-update.bat的腳本會執行adobeacd-update.vbs(VBS_POWRUN.KG),提升使用者權限,然後再執行另一個名為adobeacd-update.ps1(TROJ_POWDLOD.GN)的腳本。TROJ_POWDLOD.GN接著會從http//185[.]14[.]31[.]9/work.exe下載並執行TROJ_ROVNIX.NGT,這是一個ROVNIX載入器。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,德國出現了最多使用者有著受感染系統。
表1、2014年11月6日到2014年11月18日最受影響的國家
結論
ROVNIX對使用者和企業都會造成危險,因為除了其後門能力外,它還可以竊取密碼和記錄按鍵資訊。這種攻擊可能被用在資料入侵外洩上,因為資料竊取是其主要行為。此外,這攻擊突顯出有更多惡意軟體可能會去利用巨集文件來濫用PowerShell以散播其惡意程式。不過要注意的是,在此次攻擊中,PowerShell功能並未被濫用。
使用者可以輕易地將其巨集設定設到最大安全性以保護其系統。如果檢視文件需要用到這功能,請確保檔案來自可信任的來源。趨勢科技透過主動式雲端截毒技術來偵測惡意檔案以保護使用者免受此威脅。
相關雜湊值如下:
@原文出處:ROVNIX Infects Systems with Password-Protected Macros作者:Joie Salvio(趨勢科技威脅回應工程師)