Carbanak黑客使用恶性的Bateleur恶意软件攻击整个美国的饭店连锁店

一个名为Carbanak的黑客组织的任务是渗透到美国各地饭店连锁店的服务器中。如果您不熟悉这些臭名昭著的网络骗子，请务必介绍它们。恶意软件攻击不仅是您日常的黑客，他们会利用编码不良的恶意软件进行小规模攻击。不，不，Carbanak在大联盟中。黑客团体是在2014年由俄罗斯网络安全公司卡巴斯基实验室首次发现的。Carbanak的目标不是普通用户，而是大型金融机构。进行攻击的通常方法是通过电子邮件网络钓鱼诈骗。很难准确估计他们的非法活动所产生的总金额，但据信大约在5亿美元至10亿美元之间。有了这些信息，就可以进一步了解Carbanak所涉及的网络犯罪的范围，让我们深入研究所涉及的攻击的细节。

Bateleur如何感染

我们今天谈论的网络钓鱼诈骗是由Proofpoint的专家首次发现的。他们以一种鹰-Bateleur来命名该恶意软件。这就是一切的开始–目标餐厅收到一封看似无害的电子邮件。电子邮件本身很可能不会引起任何怀疑-它是通过Gmail或Outlook地址发送的。它声称这是关于已经被讨论过的支票的。它包含一个Word文档，该文档旨在诱使接收者认为这实际上是支票。这很危险-欺诈性电子邮件中附带的文档已加密，并且还包含一个警报，指出该文件已受到" Google Documents Protect Service"或" Outlook Protect Service"的保护（具体取决于攻击者用来发送消息的提供商。但是，这些"保护服务"都不存在，它们不过是一个简单而狡猾的把戏，其目的是欺骗受害者以为他们将要打开的文件是合法的。在该文件的底部，用户可以找到一些流行的防病毒产品供应商的徽标，这些徽标位于该徽标中，以进一步说服受害者，使他们认为该文件值得信赖。该文档将要求受害者启用编辑功能，并且如果用户确实因Carbanak的欺骗而倒下，该文档将继续部署其恶意负载。

Bateleur的进攻和防御能力

一旦Bateleur在受害者的系统上找到了出路，它就会开始运行。这种威胁特别危险，因为它拥有一整套可使用的反检测工具。 Bateleur能够识别出它是否在沙箱中，沙箱是一种可控制的环境，恶意软件研究人员用来研究威胁并开发工具来对抗威胁。如果真是这样，Bateleur将停止其进程，从而阻止恶意软件专家对其进行区分。其狡猾的能力之一是迷惑。这是威胁混淆其代码并因此使其几乎无法进行分析的能力。

列出了Bateleur的防御能力之后，就该开始了解威胁的攻击能力了。该木马能够窃取有关受害者计算机配置和运行进程的重要信息。除此之外，它还使远程攻击者能够执行命令和PowerShell脚本。此外，Bateleur完全有能力更新其核心模块，甚至可以自行卸载。该特洛伊木马程序可以截取它认为重要的数据的屏幕截图，并将其发送到Carbanak的控制服务器。 Bateleur还具有窃取密码的能力，但是其当前版本缺少启用此特定功能所需的某些模块。但是，了解到Carbanak的运行级别后，恶意软件专家希望将其尽快添加到Bateleur中。

考虑到Carbanak为使Bateleur尽可能坚不可摧而采取的所有安全措施，看来该特洛伊木马将继续对企业和机构构成巨大威胁，其中许多人未能意识到保持软件更新至最新水平的重要性。并购买了信誉良好的安全套件。