锁定金融机构的恶意程式攻击事故频传,一旦这些恶意软体入侵受害者的装置,便会试图将他们的银行帐户洗劫一空,但如今,有一支名为JsOutProx的恶意程式引起国际信用卡组织注意,并对发卡银行及相关单位提出警告。
资安业者Resecurity也公布调查结果,并指出这起攻击行动最大的特色之一,就是对方大肆滥用程式码储存库GitLab。
【攻击与威胁】
对方自3月27日开始从事网路钓鱼攻击,呼吁发卡银行、处理机构,以及相关单位严加防范。而对于攻击者的最终目标,Visa表示仍有待确认,但指出该骇客组织曾从事金融诈欺行动。
针对这起攻击行动的细节,资安业者Resecurity也公布相关调查结果。对方假冒合法的机构,声称为目标人士提供财务通知寄送电子邮件,信件内容与SWIFT或MoneyGram付款有关,并挟带ZIP压缩档附件,内容包含.js档案,一旦收信人执行,电脑就会从程式码储存库GitLab下载JsOutProx恶意酬载。
对方假借提供发票的名义寄送钓鱼邮件,当中挟带PDF附件档案,一旦收信人开启附件,并点选检视完整发票的按钮,电脑就会从Yandex电子邮件服务下载恶意酬载,最终都有可能触发Visual Basic指令码,以便下载、执行第2阶段的指令码,检查目标电脑是否为沙箱环境,最终部署Mispadu,并借由以AutoIT指令码写成的恶意程式在记忆体内执行有效酬载。
值得留意的是,由于这些NAS设备的生命周期已经结束(EOL),D-Link表明将不会提供相关修补,并呼吁用户应尽速淘汰这些设备。