近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一個(gè)名為 Zloader 的銀行木馬變種程序。Zloader 又名 Terdot，自 2016 的銀行木馬變種并非采用傳統(tǒng)方式進(jìn)行傳播，攻擊者采取通過(guò)網(wǎng)頁(yè)廣告重定向至惡意的下載站下載惡意代碼，通常模仿 TeamViewer、Zoom、Discord 等流行應(yīng)用程序。

        當(dāng) 用 戶 在 Google 瀏 覽 器 中 搜 索TeamViewer 安裝程序，之后點(diǎn)擊 Google 廣告，重定向至攻擊者網(wǎng)站下載惡意文件。Zloader銀行木馬變種的 Dropper 從經(jīng)典的惡意宏文檔變?yōu)橐押灻?MSI 惡意文件，并依靠后門(mén)程序和 LOLBAS 腳本繞過(guò)防御。該惡意代碼通常竊取銀行憑證。該惡意代碼新增禁用 Windows Defender 服務(wù)等功能。下載的 msi 文件釋放并執(zhí)行相關(guān)腳本與載荷文件，其中 updatescript.bat 的功能是禁用 Windows Defender 所有模塊、隱藏惡意軟件的所有組件、下載可執(zhí)行文件并通過(guò) LOLBAS 腳本執(zhí)行。nsudo.bat 功能為以系統(tǒng)最高權(quán)限禁用 Windows Defender 服務(wù)。載荷執(zhí)行后，首先是在 %APPDATA% 內(nèi)創(chuàng)建隨機(jī)名稱的目錄，并在目錄中創(chuàng)建自己的副本，然后通過(guò)修改注冊(cè)表項(xiàng)自啟動(dòng)，之后創(chuàng)建名為msiexec.exe 的傀儡進(jìn)程并掛起，注入相關(guān)代碼，當(dāng) msiexec.exe 進(jìn)程恢復(fù)后實(shí)現(xiàn)竊取 Cookie、登錄憑證和所有敏感信息等功能。

        安天 CERT 提醒廣大政企客戶，要提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí)進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正版的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可靠，更加不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不要輕易下載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。確保所有的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)避免使用弱密碼，如果業(yè)務(wù)上無(wú)需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類木馬的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對(duì)該木馬的查殺。