行業新聞與博客

人們發現了涉及 Medusa（TangleBot）銀行木馬的新的欺詐活動，該木馬近一年來一直逃避檢測。 

Cleafy 研究人員上週發佈的一項分析顯示，這個於 2020 年首次發現的複雜惡意軟件家族已經重新出現併發生了重大變化。 

該惡意軟件以其遠程訪問木馬 (RAT) 功能而聞名，包括鍵盤記錄、屏幕控制和短信讀寫，使威脅行為者能夠執行設備欺詐 (ODF)，這是一種非常危險的銀行欺詐形式。

最近的發現表明，新的 Medusa 樣本與舊版本之間存在差異，後續版本採用了更輕量的權限集和新功能，例如全屏覆蓋顯示和遠程卸載應用程序。 

Medusa 最初針對的是土耳其金融機構，但到 2022 年已擴展到北美和歐洲。其 RAT 功能允許威脅行為者使用 VNC 完全控制受感染的設備，以實現實時屏幕共享和輔助功能服務。這有利於實施諸如賬户接管 (ATO) 和自動轉賬系統 (ATS) 欺詐等危險攻擊。

Cleafy 現已發現由關聯方運營的五個不同的殭屍網絡，每個殭屍網絡都針對不同的地理區域並使用獨特的誘餌。目標現在不僅包括土耳其和西班牙，還包括法國和意大利。還觀察到分發策略的顯著轉變，威脅行為者使用“droppers”通過虛假更新程序分發惡意軟件。

該惡意軟件通過與攻擊者基礎設施的網絡安全套接字連接來協調其功能，從 Telegram 和 X（以前稱為 Twitter）等社交媒體資料中動態獲取命令和控制 (C2) 服務器 URL。這種動態檢索提高了抵禦攻擊企圖的彈性。

最新的 Medusa 變體的戰略轉變是最大限度地減少所需權限並逃避檢測，從而使其能夠在更長時間內不被發現地運行。 

諮詢報告中指出：“減少的權限、地理多樣化以及複雜的分銷方式，凸顯了美杜莎不斷發展的本質。 ”

“隨着威脅行為者不斷改進其策略，網絡安全專家和反欺詐分析師必須保持警惕，並調整防禦措施以應對這些新出現的威脅。”