攻击者使用HTML走私技术在虚假工作机会中隐藏恶意文件
针对非洲银行业的网络犯罪活动是利用网络钓鱼电子邮件和HTML走私技术来部署恶意软件。
据报道了一系列攻击西非(非洲西部,攻击者冒充潜在的雇主,吸引受害者下载恶意文件。
一直在跟踪活动的惠普沃尔夫安全的研究人员指出,他们首先在“ 2022年初”发现了袭击,当时一家不愿透露姓名的西非银行的雇员收到了一封电子邮件,声称来自另一家非洲银行的一家招聘人员,并提供信息。关于工作机会。
在调查时,研究人员发现,用于发送电子邮件的域名已打字,不属于模仿组织。
A WHOIS请求后来透露该域名于2021年12月注册,并访问该网站返回了HTTP 404响应。beplay体育能用吗为了使诱饵更加可信,威胁行为者还包括了招聘银行的另一名雇员的回复地址。
走私运动
这些电子邮件包含HTML文件,如果打开,请提示用户下载ISO文件,该文件又包含一个可视的基本脚本,该脚本执行恶意软件。
该技术称为HTML走私,使攻击者能够将恶意文件走私到电子邮件网关安全性。
来自惠普狼安全的研究人员发现,攻击者正在使用一个名为Guloader的下载器,该下载器是使用注册表中存储的PowerShell执行的,否则仅在内存中运行。
研究人员指出:“检测这种感染链并不容易,因为恶意软件仅位于记忆和注册表中。”博客文章。
讲话每日swbeplay2018官网ig, Patrick Schläpfer, malware analyst at HP Wolf Security, said that while the research team doesn’t have insight on why Africa in particular was targeted, financial institutions generally offer “a high degree of opportunity for cybercriminals to monetize access and stolen data if they successfully compromise a bank’s network”.
Schläpfer补充说:“在此活动中,攻击者使用了攻击技术的组合。我们建议公司注意品牌滥用,即打字beplay体育能用吗冒充品牌的网站。
“如果找到这些,则应尽快将其报告给托管提供商和域名注册服务商。
你也许也喜欢非洲认为勒索软件,僵尸网络攻击的增加 - 但在线骗局仍然构成最大的威胁
“此外,组织还应确保他们在网络上具有可见性,以隔离或阻止恶意流程行为。这些建议适用于所有建议组织,不仅是非洲的银行业。”
研究人员还指出,尽管网络钓鱼电子邮件之类的技术不一定是复杂的,但“此类攻击仍然会导致感染”。
Schläpfer补充说:“在这次活动中,攻击者为建立假网站而付出了不寻常的努力,以提高其电子邮件的信誉,从而增加了感染的机会。beplay体育能用吗
“ HTML走私技术也不容易检测,因此经常超越给用户的电子邮件门户。”
有关该活动的更多信息可以在HP Wolf Security的博客文章。
