据云安全公司 Qualys 称,最近一场恶意软件活动背后的威胁参与者一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼电子邮件的诱饵,旨在用 BitRAT 远程访问木马感染目标。
该公司在调查活跃的网络钓鱼攻击中的 BitRAT 诱饵时,发现一家未公开的哥伦比亚合作银行的基础设施已被攻击者劫持。
总共 418,777 条包含敏感客户数据的记录,包括姓名、电话号码、电子邮件地址、地址、哥伦比亚国民身份证、付款记录和工资信息,从被破坏的服务器中被盗。
在调查该活动时,Qualys 还发现了攻击者访问客户数据的证据,包括显示他们使用 sqlmap 工具查找 SQL 注入错误的日志。
“此外,诱饵本身包含来自银行的敏感数据,使它们看起来合法。这意味着攻击者已经获得了访问客户数据的权限,”Qualys说。
“在深入挖掘基础设施的同时,我们发现了指向使用工具 sqlmap 来查找潜在 SQLi 故障的日志,以及实际的数据库转储。”
目前,在 Qualys 监控的暗网或明网站点上,没有发现任何从哥伦比亚银行服务器上窃取的信息。
该恶意软件通过一个恶意 Excel 文件传送到受害者的计算机,该文件会投放并执行一个 INF 文件,该文件编码在与附件捆绑在一起的高度混淆的宏中。
然后使用受损设备上的 WinHTTP 库从 GitHub 存储库下载最终的 BitRAT 有效载荷,并在 WinExec 函数的帮助下执行。
在攻击的最后阶段,RAT 恶意软件将其加载程序移动到 Windows 启动文件夹以获得持久性并在系统重启后自动重启。
至少从 2020 年 8 月开始,BitRAT在暗网市场和网络犯罪论坛上作为现成的恶意软件出售,终身访问权限低至 20 美元。
在支付许可证费用后,每个“客户”都会使用自己的 方法让受害者感染这种恶意软件,例如网络钓鱼、水坑和木马化软件。
高度通用的 BitRAT 可用于各种恶意目的,包括录制视频和音频、数据窃取、DDoS 攻击、加密货币挖掘以及提供额外的有效负载。
Qualys 威胁研究高级工程师 Akshat Pradhan 说:“商业现成的。RAT 一直在改进其传播和感染受害者的方法。”
“他们还增加了合法基础设施的使用来托管他们的有效载荷,防御者需要对此负责。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » BitRAT恶意软件活动使用窃取的银行数据进行网络钓鱼
