数据窃取Betabot Malware
研究人员报告称,自2012年首次出现以来,窃取了显着发展的恶意软件以来的攻击性显着发展。
安全软件公司Cyber ay的安全运营团队在过去几周内检测到多个Betabot感染。
也称为Neurevt的恶意软件是一个复杂的InfosteAler,它开始作为银行业务特洛伊木马,但现在包括允许其运营商实际接管受害者的机器,窃取敏感信息并关闭30多个受欢迎的防恶意软件的功能根据Assaf Dahan的威胁狩猎高级主任,Cyber ay威胁。
Betabot的主要功能包括浏览器表单Grabber,FTP和邮件客户端偷窃师,强大的rootkit,下载额外恶意软件的能力以及执行命令的能力,他在博客文章中写道。
恶意软件还包括用于窃取银行信息的模块,不确定运行分布式拒绝服务攻击和矿井加密。
Betabot在Microsoft Office的“公式编辑器”工具中利用了18岁的漏洞,该工具于2017年被微软发现和修补,再次强调将软件修补程序保持最新的重要性。
达坎警告说,Betabot实现了现代恶意软件中常见的广泛的自卫机制,包括防调试,防虚拟机/沙箱,防拆卸和检测安全产品和分析工具的能力。
此外,恶意软件还具有来自主要防病毒,安全和虚拟化公司的穷举列表,产品ID,产品ID,散列和域。
根据Cyber ay数据,大多数近期的Betabot感染来自使用社会工程的网络钓鱼活动,以说服用户下载并打开似乎是附加到电子邮件的单词文档的内容。
打开文档触发公式编辑器漏洞利用(CVE-2017-11882)并执行提取Betabot Loader和加密主要有效载荷的安装程序。
然后,Betabot通过向Google.com和两个Microsoft网站发送请求,尝试与其命令和控制服务器进行通信。
一旦验证了Internet连接,Betabot将请求发送到其命令和控制服务器以下载额外的恶意软件。
Dahan表示,Betabot使用了几种有趣的持久技术,包括经典的注册表AutorUn,以及劫持应用程序接口,以隐藏监控工具的持久性方法。
Betabot的作者设计了在“偏执模式”中运行的恶意软件,这意味着它可以检测在受害者机器上运行的安全产品,确定它是否在研究实验室环境中运行并识别并关闭在机器上的其他恶意软件上,这是Dahan表示。
除了避免单击链接和下载或从未知发件人下载或打开附件,并在电子邮件和附件中查找错误,拼写错误和其他可疑内容,Dahan建议通过安装Microsoft修补程序来保持软件。
他说,企业还应考虑禁用Microsoft Office中的等式编辑功能。