近期国外安全研究人员你发现,瑞士、日本、奥地利等多国的银行网站遭到了不同程度的攻击,初步数据显示来自同一黑客的手笔,目前尚未清楚有多少网站遭到入侵,但是这一数字还在稳定上升当中。
根据入侵显示,黑客利用的是银行木马Retefe的新变种,通过NSA漏洞永恒之蓝代号为CVE-2017-0143来攻击各国银行网站,与以往依靠网络注入劫持银行的银行木马不同,Retefe的新变种是通过托管在TOR网络上的代理服务器发动攻击,操纵目标银行系统和路由流量达到入侵目的。
Retefe新变种银行木马还具有嵌入式恶意文档,黑客将它们发布在钓鱼邮件中,大面积撒网以便感染更多的银行系统,当用户打开带有Retefe银行木马邮件的附件时,Retefe银行木马就会自动触发PowerShell命令执行条件,随后下载托管在远程服务器上的自动解压缩存档,该存档中包含了多配置会话参数的JS安装程序,其中一个参数被添加了永恒之蓝的漏洞脚本,一旦执行后果将十分严重。
如今幕后黑的身份尚不得而知,但他或他们Retefe银行木马新变种展开的攻击活动目标十分明确,但针对的地区和攻击方式却十分值得注意。对于银行机构而言,安全专家建议关闭IDS系统和防火墙相关通信来预防网络钓鱼攻击,对于防护带有Retefe银行木马邮件的应对办法是:
1、安装知名的杀毒软件,保持病毒库的及时更新;
2、不要执行任何来路不明的软件;
3、接收到陌生邮件时不要随意点击附带链接,邮件中的附件更不要轻易下载;
4、保持系统的更新;