CHAVECLOAK银行木马通过恶意的PDF文档欺骗巴西人

安全侠2024-03-06 14:37:37
请留意新的CHAVECLOAK银行木马,它通过短信网络钓鱼(SMishing)、网络钓鱼电子邮件和受感染的网站传播感染。CHAVECLOAK银行木马利用PDF、ZIP下载、DLL侧载和欺骗性弹出窗口来针对巴西毫无戒心的银行用户金融部门。



FortiGuard实验室的网络安全研究人员发现了一种名为CHAVECLOAK的高危木马,针对巴西银行用户。该恶意软件以Windows设备为目标并访问在线银行平台,窃取其银行凭证和财务信息。


CHAVECLOAK感染方法正在调查中,但研究人员怀疑潜在的传播渠道包括网络钓鱼电子邮件、短信网络钓鱼和受感染的网站。


根据该公司的博客文章,该活动涉及伪装成合法银行通信的恶意电子邮件,可能会诱骗用户下载恶意软件。然后,它利用葡萄牙语设置、DLL侧加载和欺骗性弹出窗口来攻击毫无戒心的用户。它积极监控受害者与金融门户的互动。


值得指出的是,DLL侧载会带来巨大的安全风险,因为它允许恶意软件利用合法进程,而不会引起怀疑或被检测到。


该恶意软件控制受害者的设备,并通过恶意PDF文件收集敏感的财务信息,声称包含带有葡萄牙语说明的合同文档。然而,它有一个恶意下载器链接,该链接通过Goo.su处理并重定向到ZIP文件,从而生成MSI文件“NotafiscalGFGJKHKHGUURTURTF345.msi”。


解压后,MSI安装程序会显示多个TXT文件、一个合法的执行文件和一个名为“Lightshot.dll”的恶意DLL。DLL文件的修改日期比其他文件更新。安装程序执行文件“Lightshot.exe”并使用DLL侧面加载技术来执行恶意DLL。这使得合法的可执行文件可以谨慎地运行恶意代码,从而实现数据盗窃等未经授权的活动。


此外,该恶意软件使用“GetVolumeInformationW”进程收集文件系统和卷信息,生成日志文件,并在用户登录时执行“Lightshot.exe”程序。它使用API“GetForegroundWindow”和“GetWindowTextW”发送HTTP请求、记录数据并监视前台窗口。


然后,恶意软件与其C2服务器进行通信,促进窃取受害者凭据、阻止其屏幕、记录击键以及显示欺骗性弹出窗口的操作。


此外,它还积极监控对金融门户的访问,包括巴西和拉丁美洲最大的数字货币交易所Mercado Bitcoin,该交易所结合了传统和加密货币平台以及传统银行。



被盗信息被上传到不同的路径。恶意软件配置帐户信息并发送POST请求。该恶意软件主动监控受害者与金融门户的交互,凸显了当代银行木马的复杂性。


为了保护自己免受CHAVECLOAK和类似银行木马的侵害,请谨慎对待电子邮件和短信、验证网站合法性、启用双因素身份验证(2FA)、使用强密码,并定期更新您的操作系统、Web浏览器和安全软件以解决已知问题漏洞。避免点击可疑链接或附件,并仔细检查网站URL是否有拼写错误或细微变化。

网络安全银行
本作品采用《CC 协议》,转载必须注明作者和本文链接
这样的演习并不罕见,各国央行经常指责它们的零售伙伴忽视了网络安全。这些国家通常与网络犯罪集团结盟,并在寻找有利可图的目标进行攻击。英国央行最近进行的一项调查发现,74%的银行业高管认为,网络攻击对他们的业务构成了最大威胁。Rogers解释说,就后果而言,最坏的情况将是公众对金融部门本身的信心普遍丧失。
银行网络安全架构
2022-12-21 14:22:00
它们只是作用的对象不同,认证、授权和审计功能基本是一致的。网络安全架构设计的另一个关键问题在于如何使用AAA服务。这些都是新的AAA解决方案的扩展,包括基于用户健康状态的网络准入和授权解决方案,基于移动客户端管理的BYOD解决方案等。在IPSec的实现框架中,加密、完整性乃至可选的线路认证都是可以一体化实现的。在国内银行一些新部署的承载网上使用MPLSVPN隔离不同安全要求的业务。
为喜迎二十大,由中国人民银行温州市中心支行主办的“2022温州市银行网络安全专项竞赛”,于2022年8月10日-11日在温州银行大楼隆重举行。本次比赛共有来自温州市各银行业总计49支队伍参赛。绿盟科技作为一家专业的网络安全厂商,结合多年的安全实践,已成功多次为网络安全大赛保驾护航。未来,绿盟科技仍将再接再厉、持续创新,为温州市金融业网络安全人才培养和网络与信息化建设贡献安全的力量。
然而,随之而来的安全问题也日益凸显,行业内网络安全事件频繁发生,并呈现出逐年增长的趋势。异构资产协调联动长治潞州农商银行以政策为导向,在以往进行的网络安全建设中,部署了众多安全设备,拥有一定的网络安全资产。因此,长治潞州农商银行亟需提高内网系统日志审计的效率和自动化水平,减轻运维人员的工作负担。
新的PCI DSS增加了关于网络安全控制的更广泛语言。先前版本的标准中,曾特别提到通过防火墙配置来保护持卡人数据环境。此次的新标准对这一点做了扩展。它创造了更大的空间,这可能会给一些银行带来重大转变。
4月6日消息,澳大利亚政府审计局(APRA)正在“加强”对银行的能力的关注,同时也要关注其技术生态系统和其他合作伙伴在面对日益严峻的网络安全威胁时具有韧性的能力。
按照相关性原则,北部湾银行将风控应用进行了全新设计,共拆分成包括决策中心、监控中心、运维中心、管理中心等在内的21个微服务。分拆后,各应用之间耦合度大大降低,每一个微服务都具备完全的独立性,降低了系统复杂度,提高了决策效率,保证了弹性伸缩,部署时间由小时级降低到秒级。借助此次云原生架构升级,北部湾银行同时将内部1600百余台VMware虚拟机由云平台实现统一纳管,实现了业务的平滑切换。
数字时代下,网络安全议题重要性日益凸显。印度作为同样有着庞大网民数量的国家,其网络安全体系对中国有着借鉴意义。当下,印度正从法律法规、政策规划、组织结构、国际合作四个方面加速网络安全体系建设,形成以《信息技术法》为核心的多部门法律体系,以《国家网络安全战略》为中心的政策规划,以总理办公室为枢纽的组织结构,并广泛开展国际合作。从发展趋势来看,印度网络安全体系深受网络犯罪影响,并呈现出体系不平衡的特点
资源整合,灵活认证授权天融信运维安全审计系统可提供灵活的认证鉴权接口,支持多种形式的双因子强认证管理,通过集中纳管所有用户账号与信息资产账号,为客户提供安全可靠、便于管理的认证体系。层层把关,严控敏感操作近年来,因运维人员误操作、恶意操作导致的安全事件时有发生。未来,天融信将不断加大前沿技术研究投入,持续提升自主创新能力与核心竞争力,为金融行业的全面数字化转型保驾护航!
新型攻击目标PROCASH 2050XE ATMs 在发出的安全警报中,全球最大的ATM机制造商Diebold Nixdorf表示,其调查人员发现,欧洲某些国家正在使用一种新的黑盒子攻击。这些袭击迫使比利时储蓄银行阿根廷分行在遭遇两起神秘的ATM机袭击后,于上月关闭了143台ATM机。此次袭击被认为是比利时历史上第一起意外事件,这次攻击使用了Diebold Nixdorf警报中描述的相同技术,攻击者通过USB连接到自动取款机,然后清空取款机。
安全侠
暂无描述