趨勢科技最近發現了一種無文件惡意軟件，它通過遠程控制對用戶設備的訪問來竊取網上銀行的憑證。此外，它還竊取設備和電子郵件帳戶數據。黑客在設備上安裝了一個名為RADMIN的黑客工具。該惡意軟件針對的是巴西和臺灣主要銀行的客戶。

　　無文件惡意軟件是黑客用來訪問用戶設備而不必在設備上寫入或留下活動痕跡的惡意軟件。使用此方法，可執行文件不會出現在磁盤上。它使用mshta.exe等程序中已存在的可執行文件。此外，惡意軟件通常使用Powershell。

　　針對巴西和臺灣銀行的惡意軟件使用了多個.BAT附件，“能夠打開IP地址，下載帶有銀行木馬有效負載的PowerShell，并安裝黑客工具和信息竊取程序?！比缓笙螺d包含銀行木馬的PowerShell有效負載并安裝RADMIN和消息竊取程序以提取用戶的數據。信息竊取程序還能夠掃描與銀行和其他相關連接相關聯的字符串，以確定它是否針對用戶。趨勢科技在分析過程中未發現被盜數據。這些數據通常用于欺詐活動或在黑暗中轉售，以便黑客可以犯下更多罪行。

　　惡意軟件進入設備后，會下載PowerShell代碼，執行并連接到其他URL，提取和重命名文件。重命名的文件仍顯示為真實文件，標記為可執行文件和圖像文件。然后，當.LNK文件進入啟動文件夾時，“它會在啟動文件夾中刪除.LNK文件，強制系統在三分鐘后重新啟動。它還會創建一個鎖定屏幕，強制用戶輸入其用戶名和密碼。使用系統的安全登錄功能，它會檢測輸入的錯誤憑據并通知用戶重復此過程。惡意軟件還會記錄用戶的正確憑據，并將其發送到命令和控制（C＆C）服務器，并通過刪除Startup文件夾中所有已刪除和創建的文件和文件夾立即隱藏其惡意例程。

　　此無文件惡意軟件還會在用戶的設備上安裝黑客工具，然后執行另一個特洛伊木馬TrojanSpy.Win32.BANRAP。它打開Outlook并提取數據，然后將數據發送回服務器。 RADMIN安裝的RDP Wrapper文件夾可幫助黑客獲得管理員對系統的訪問權限并隱藏用戶活動。

　　重新啟動時，它會刪除新安裝的文件以再次刪除它們的跟蹤，并在加載Web應用程序的特洛伊木馬之前用惡意.LNK替換它們。當用戶登錄到在線銀行并將其反饋給命令和控制服務器時，它將在此處獲取憑據。

責任編輯：韓希宇