Carbanak黑客使用惡性的Bateleur惡意軟件攻擊整個美國的飯店連鎖店

一個名為Carbanak的黑客組織的任務是滲透到美國各地飯店連鎖店的服務器中。如果您不熟悉這些臭名昭著的網絡騙子，請務必介紹它們。惡意軟件攻擊不僅是您日常的黑客，他們會利用編碼不良的惡意軟件進行小規模攻擊。不，不，Carbanak在大聯盟中。黑客團體是在2014年由俄羅斯網絡安全公司卡巴斯基實驗室首次發現的。Carbanak的目標不是普通用戶，而是大型金融機構。進行攻擊的通常方法是通過電子郵件網絡釣魚詐騙。很難準確估計他們的非法活動所產生的總金額，但據信大約在5億美元至10億美元之間。有了這些信息，就可以進一步了解Carbanak所涉及的網絡犯罪的範圍，讓我們深入研究所涉及的攻擊的細節。

Bateleur如何感染

我們今天談論的網絡釣魚詐騙是由Proofpoint的專家首次發現的。他們以一種鷹-Bateleur來命名該惡意軟件。這就是一切的開始–目標餐廳收到一封看似無害的電子郵件。電子郵件本身很可能不會引起任何懷疑-它是通過Gmail或Outlook地址發送的。它聲稱這是關於已經被討論過的支票的。它包含一個Word文檔，該文檔旨在誘使接收者認為這實際上是支票。這很危險-欺詐性電子郵件中附帶的文檔已加密，並且還包含一個警報，指出該文件已受到" Google Documents Protect Service"或" Outlook Protect Service"的保護（具體取決於攻擊者用來發送消息的提供商。但是，這些"保護服務"都不存在，它們不過是一個簡單而狡猾的把戲，其目的是欺騙受害者以為他們將要打開的文件是合法的。在該文件的底部，用戶可以找到一些流行的防病毒產品供應商的徽標，這些徽標位於該徽標中，以進一步說服受害者，使他們認為該文件值得信賴。該文檔將要求受害者啟用編輯功能，並且如果用戶確實因Carbanak的欺騙而倒下，該文檔將繼續部署其惡意負載。

Bateleur的進攻和防禦能力

一旦Bateleur在受害者的系統上找到了出路，它就會開始運行。這種威脅特別危險，因為它擁有一整套可使用的反檢測工具。 Bateleur能夠識別出它是否在沙箱中，沙箱是一種可控制的環境，惡意軟件研究人員用來研究威脅並開發工具來對抗威脅。如果真是這樣，Bateleur將停止其進程，從而阻止惡意軟件專家對其進行區分。其狡猾的能力之一是迷惑。這是威脅混淆其代碼並因此使其幾乎無法進行分析的能力。

列出了Bateleur的防禦能力之後，就該開始了解威脅的攻擊能力了。該木馬能夠竊取有關受害者計算機配置和運行進程的重要信息。除此之外，它還使遠程攻擊者能夠執行命令和PowerShell腳本。此外，Bateleur完全有能力更新其核心模塊，甚至可以自行卸載。該特洛伊木馬程序可以截取它認為重要的數據的屏幕截圖，並將其發送到Carbanak的控制服務器。 Bateleur還具有竊取密碼的能力，但是其當前版本缺少啟用此特定功能所需的某些模塊。但是，了解到Carbanak的運行級別後，惡意軟件專家希望將其盡快添加到Bateleur中。

考慮到Carbanak為使Bateleur盡可能堅不可摧而採取的所有安全措施，看來該特洛伊木馬將繼續對企業和機構構成巨大威脅，其中許多人未能意識到保持軟件更新至最新水平的重要性。併購買了信譽良好的安全套件。