导语:近日,网络安全公司McAfee已经成功阻止了用户对于一个银行恶意软件的访问,而说回该恶意软件,似乎是从McAfee公司自己的网络中发送出来的。这究竟是怎么一回事呢?

安全反被安全误

近日,网络安全公司McAfee已经成功阻止了用户对于一个银行恶意软件的访问,而说回该恶意软件,似乎是从McAfee公司自己的网络中发送出来的。这究竟是怎么一回事呢?

据悉,该恶意软件是托管在第三方网站上的,但是却通过一个与McAfee ClickProtect关联的域名进行共享,ClickProtect是McAfee公司自己的电子邮件保护服务,该公司宣称其能够“帮助用户拦截垃圾邮件和恶意软件,防止用户访问已知为高风险的网站,消除来自电子邮件中内嵌恶意链接的威胁,从而保护用户的业务免受黑客攻击。”

但是,一位来自巴黎的安全研究人员Benkow(化名)却在接收到的一份恶意软件分析报告中发现了该恶意链接。该恶意链接通过“cp.mcafee.com”域名将用户重定向到恶意的Word文档中。任何下载并打开该恶意Word文档的用户都会将自身暴露于Emotet银行恶意软件的威胁之中。

Emotet木马介绍

Emotet木马在2014年6月份被安全厂商趋势科技首次曝光。据趋势科技所说,Emotet最突出的特点是其网络嗅探能力,通过hook 8个网络API它能够捕获通过https协议传输的数据。Emotet主要通过垃圾邮件进行传播,邮件中含有一个挂马网站的链接,或者包含一个伪装成PDF文档图标的木马。

事件分析

网络安全公司Malwarebytes的首席恶意软件情报分析师Jerome Segura在一封电子邮件中表示:

Emotet银行木马已经通过恶意垃圾邮件活动进行了大规模的分发,这些垃圾邮件中包含指向被黑客入侵网站的链接,而这些网站中又包含一份恶意的Word文档。只要用户不小心点开它并启动宏,用户就会在不知不觉中触发下载Emotet恶意软件的二进制文件。

a1-dropper.png

b2-code.png

研究人员表示,该恶意软件使用了传统的启用宏的Word文档,通常通过直接链接或电子邮件分发,打开并激活之后,就会使用PowerShell脚本(包括Emotet恶意软件二进制文件)下载其他文件。安装完成后,该恶意软件会与其命令和控制(C&C)服务器联系,并将窃取到的敏感数据(如浏览器和邮件密码)传输至C&C服务器中,之后,再用这些窃取来的数据盗取并转移帐户资金。

安全研究人员Marcus Hutchins在其最近的一篇文章中表示,恶意软件使用硬编码的IP地址连接到命令和控制(C&C)服务器,但是它却使用代理服务器(proxies)来逃避检测。 

对于此事,McAfee公司表示正在进行调查,但是该公司也表示其ClickProtect服务正在“按设计运行”。该公司一位发言人表示,

在11月13日凌晨,该链接指向的网站还没有被确认为恶意软件的传播来源。但是,到了当天晚些时候,McAfee全球威胁情报服务中心开始将该网站确认为‘威胁’,并将该网站从‘低风险’调整至‘高风险’,之后公司开始采取措施阻止用户访问该网站。

该发言人还表示,在此事被媒体报道以前,该网站“已经成功被McAfee安全团队阻断了一段时间”。但是貌似事实并非如此!因为研究人员发现,就在McAfee表示该网站已经被其安全团队成功封锁后,这个恶意链接仍处于活跃状态,并指向恶意的Word文档。目前尚不清楚,为什么McAfee的ClickProtect服务将该网站标记为“高风险”后,仍会允许恶意软件下载。

McAfee的发言人也表示,公司正在努力确定事件的确切时间表。目前还不清楚这个链接到底是怎么来的——比如,是否是攻击者用来诱骗不知情的受害者下载恶意软件而创建的,又或是只是一种失误。

事实证明,最近几个月里,黑客已经加大了对Emotet恶意软件的使用,他们越来越倾向于发送精心制作的电子邮件和采用社交工程技术来诱骗用户触发恶意软件。根据趋势科技最近发布的一份报告指出,恶意软件背后的攻击者经常将自身伪装成电话、手机以及互联网服务提供商,而他们的攻击目标主要是位于美国、英国以及加拿大的用户。

但是,为什么Emotet恶意软件卷土重来仍然是一个谜。微软最近呼吁企业用户警惕恶意软件问题,因为企业用户正日益发展成为攻击者开展恶意软件攻击的目标。Segura警告称,即使是使用了电子邮件保护系统的用户(如企业)仍然存在被欺骗的可能性。他说,

用户应该小心核查点击的任何链接,即便是在确认为‘安全’的情况下。

他进一步补充道,

电子邮件底部附加的签名也是同样的道理,说这封电子邮件是‘无病毒的’或类似安全提醒,不仅会给用户一种错误的安全感,而且犯罪分子通常也会使用社会工程技术添加这样的信息,进一步加大安全隐患。

源链接

Hacking more

...