WezRat 惡意軟體
WezRat 是一種用 C++ 編寫的高度先進的威脅,已成為網路犯罪分子收集資訊和執行有害任務的常用工具。 WezRat 活躍了一年多,透過改進的模組和自適應基礎設施不斷發展。據觀察,它的最新版本透過欺騙性電子郵件傳播,展示了其創建者針對毫無戒心的受害者的獨創性。
該惡意軟體的主要目標是竊取數據,但其功能範圍遠不止於此。滲透目標系統是網路犯罪分子收集敏感資訊、破壞營運和利用受損設備的入口網站。
目錄
數據收集和系統監控
一旦系統受到損害,WezRat 就會執行廣泛的偵察。它收集詳細信息,例如用戶設定檔路徑、本機電腦 IP、電腦名稱和用戶名。這些數據點不僅被編目,還被用來執行其他攻擊,包括在受感染的設備上保存補充的損壞模組。
WezRat 的命令和控制 (C&C) 基礎設施允許其執行命令、上傳檔案以及執行擷取螢幕截圖或記錄擊鍵等操作。從 C&C 伺服器下載的專用模組可處理其中一些任務,進一步擴展惡意軟體的功能。
綜合資料竊取技術
WezRat 採用一系列策略來收集敏感資訊:
- 螢幕擷取與監控:網路犯罪分子可以拍攝使用者活動的快照,使他們能夠提取螢幕上顯示的機密資料。
- 按鍵記錄:透過記錄每次按鍵,惡意軟體會擷取登入憑證、信用卡號以及鍵盤上輸入的其他私人資訊。
- 剪貼簿劫持:受害者複製的文字(例如密碼或財務詳細資料)被攔截並發送給攻擊者。
- Cookie 盜竊:儲存在瀏覽器中的 Cookie 被盜,從而使威脅行為者能夠劫持使用者會話並獲得對線上帳戶的未經授權的存取。
現實世界的策略:偽裝成合法的溝通
WezRat 最近的活動展示了其運營商在欺騙方面的專業知識。據稱來自以色列國家網路管理局 (INCD) 的詐騙電子郵件指示收件者透過連結更新其 Chrome 瀏覽器。點擊該連結的受害者將被引導至一個旨在模仿合法 INCD 頁面的假網站。
一旦進入網站,受害者就會在不知不覺中下載名為「Google Chrome Installer.msi」的檔案。該檔案將合法的 Chrome 安裝程式與惡意後門「Updater.exe」結合在一起。執行時,後門會連接到遠端伺服器,修改系統登錄以確保 WezRat 的持久性。
超越電子郵件:多種分發方法
除了網路釣魚活動之外,WezRat 還透過其他欺騙性管道傳播:
- 盜版軟體:將惡意軟體嵌入到合法程式的破解版本中仍然是一種常見策略。
- 不安全的廣告:虛假廣告會導致使用者在不知不覺中下載惡意軟體。
- 欺騙性網站和技術支援策略:網路犯罪分子透過詐騙聲明引誘受害者下載受感染的檔案。
- 利用軟體漏洞:攻擊者透過針對過時或未打補丁的軟體,悄悄地安裝惡意軟體。
- 點對點 (P2P) 網路:惡意軟體透過檔案共享平台分發,通常偽裝成所需檔案。
不斷發展的能力,持續的威脅
WezRat 體現了現代威脅如何適應和持續。其敏感資料的收集能力和多樣化的分發方式對網路安全防禦提出了嚴峻的挑戰。透過擷取使用者活動、記錄擊鍵和劫持線上會話,WezRat 使網路犯罪分子能夠全面利用受害者的個人和專業資料。
防範 WezRat
個人和組織必須實施強有力的網路安全措施來應對像 WezRat 這樣的威脅。避免可疑連結、保持軟體更新以及使用強大的安全工具可以減少遭受此類威脅的風險。網路意識和主動防禦策略對於應對當今的威脅格局至關重要。
WezRat 明確提醒人們不斷變化的威脅所帶來的風險以及在保護數位環境時保持警惕的重要性。
