近日,安天 CERT 在梳理网络安全事件时发现一个活跃的 Cinobi 窃密木马。Cinobi 窃密木马主要通过垃圾邮件、漏洞利用、钓鱼网站进行传播。该窃密木马主要功能是窃取银行账户登录凭证。
攻击者使用钓鱼网站诱使受害者点击名为“index.clientdownload.windows” 的 按 钮,之后登录页面开始下载 zip 压缩文件,压缩包 包 含 LogiCapture.exe、cfg.config、config.dll、format.cfg 和 Xjs.dll 等 文 件。 攻 击 者 利用了白加黑技术反查杀。当受害者运行正常文 件 LogiCapture.exe 时, 加 载 Xjs.dll 文 件,Xjs.dll 从 format.cfg 中获取并运行 ShellCode,ShellCode 加载 config.dll 从 cfg.config 获取并运行新 ShellCode,新 ShellCode 下载 Tor 程序压缩包并安装 Tor 浏览器,之后下载并加载随机命名的 dll 文件,dll 连接 C&C 服务器下载并安装窃密载荷,窃密载荷通过获取浏览器存储的相关信息,从而窃取银行账户登录凭证。
安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。目前,安天追影产品已经实现了对该窃密木马的鉴定;安天智甲已经实现了对该窃密木马的查杀。