新的Gozi IFSB银行木马及其黑云僵尸网络来袭 大家严防钓鱼邮件

Gozi IFSB银行木马在最新的攻击浪潮中推出了新的代码、新的僵尸网络和高级别的定制功能。其所利用的黑云僵尸网络主机主要位于东欧、亚洲和中东地区。攻击者会定制不同的邮件回复受害者遇到的问题,钓鱼邮件极具诱惑力。

推荐阅读:

Gozi IFSB银行木马利用了新的黑云僵尸网络

Gozi IFSB是一个多年来一直在互联网上运行的银行木马,这次它带来了新的目标、新的特性和新的分发僵尸网络。Talos实验室周二详细介绍的这些变化,呈现出该木马成为特定领域的主要威胁。

Gozi IFSB已经开始在最近的活动中使用黑云僵尸网络,这一发展表明攻击者正在转向与普遍的犯罪和恶意活动相关的基础设施。黑云网络主要主要基于东欧和俄罗斯的受损个人计算机作为网站主机,每隔几分钟更换地址。

在分析与此僵尸网络相关的所有基础架构时,Talos发现攻击者似乎在积极避免使用位于西欧,中欧和北美的代理和主机,而且分析的大多数系统位于东欧、亚洲和中东地区。以下图表显示了全球最多的系统所在的位置。

此外,以下条形图还显示了世界各地托管服务提供商最常用于托管此僵尸网络所使用的系统的情况。

Gozi IFSB银行木马传播机制主要是通过电子邮件

最近的攻击活动中,攻击者使用带有恶意Microsoft Word文件的电子邮件,作为恶意软件有效payload的传递机制。 Talos威胁研究员Holger Unterbrink在接受外媒电子采访时说:“

这很可能是他们构建的电子邮件与真实的电子邮件线索相似,似乎是回复受害者之前的问题或请求。

在其他情况下,他们制作了与受害者兴趣相关的电子邮件,例如公司相关信息。”

定制级别表示攻击者针对的是人们高度参与的消息,而不是大规模垃圾邮件活动。Unterbrink说:

“我们相信他们正在使用混淆器脚本/程序。在很多情况下,我们看到,他们为每个受害者构建了不同的混淆文档。

虽然传送系统上附带了各种不同的恶意payload,但几乎所有的都基于VBA脚本,这些VBA脚本使用各种混淆方法和不同的执行模式,试图逃避沙盒环境中的检测。先进的当前沙箱和恶意软件检测例程几乎肯定会检测到这些活动,但是简单或较旧的技术很容易错过它们。

防御Gozi IFSB银行木马 需要严防钓鱼邮件

鉴于新的有效Payload和传送机制,组织应该做什么来保护自己免受最新一波Gozi IFSB的影响?“使用多层安全架构方法,”Unterbrink说。

这意味着各种安全保护设备/应用程序能够相互通信,公司需要认识到一些攻击者正在使用非常复杂的方法和/或依靠受害者犯错误(例如打开钓鱼邮件)。层层保护环境,甚至可以检测到成功攻击的副作用。“

“另一个重要的建议是关注用户教育,设置[假的]假钓鱼攻击活动或购买类似的服务,让用户意识到这种威胁。

Gozi IFSB银行木马IooC

Malicious Document Hashes

A full list of malicious documents associated with these campaigns can be found here.
 

Domains

A full list of domains associated with these campaigns can be found here.
 

IP Addresses

A full list of IP addresses associated with these campaigns can be found here.

发表评论