駭客使用惡意NSIS安裝軟體 攻擊電子商務
編譯/鄭智懷
資安業者Trellix發現,部分駭客正鎖定南韓和美國電子商務業,大規模的將惡意軟體下載器GuLoader植入受害者電腦,進而部署AgentTesla、LokiBot、NanoCore RAT、NetWire RAT 等不同的惡意軟體。而為了因應微軟(Microsoft)最新實施的資安保護措施,駭客開始利用惡意NSIS安裝軟體,夾帶惡意程式已感染目標電腦設備。
報告指出,惡意軟體下載器GuLoader本身即具有優秀的反分析技術以逃避資安檢測和阻擋下載的功能。在2021年與過去的攻擊案例中,駭客主要透過散發垃圾電子郵件─其中夾帶內涵設有巨集的Word檔之ZIP壓縮檔,執行攻擊行動。
不過,鑒於微軟近年來在其瀏覽器預設阻擋下載含有巨集的檔案,駭客在2022年也隨之調整進攻手法,轉而利用在檔案或圖片嵌入惡意NSIS安裝軟體的新型網路釣魚攻擊感染受害者電腦。值得注意的是,駭客在該年4月、9月不斷改良相關技術,例如引入額外的混淆和加密技術以更好的躲避受害者電腦的偵測系統。
Trellix 研究員 Nico Paulo Yturriaga表示,類似的手法有助於駭客躲避資安檢測,有效感染目標設備。
根據統計,受到惡意NSIS安裝軟體攻擊的國家以南韓最多,其次則分別是美國、德國、沙烏地阿拉伯、台灣與日本等國;而在產業上,電子商務為最主要目標,接著是服務與諮詢、服務提供、製造、政府和交通等。
Nico Paulo Yturriaga補充,朝向NSIS安裝軟體轉變的例子顯示,駭客在「逃避(資安防護者)檢測、沙箱(sandbox)分析,以及阻礙逆向工程的創造力和持久性。」
資料來源:The Hacker News、Trellix
瀏覽 949 次