行業新聞與部落格

人們發現了涉及 Medusa（TangleBot）銀行木馬的新的欺詐活動，該木馬近一年來一直逃避檢測。 

Cleafy 研究人員上週釋出的一項分析顯示，這個於 2020 年首次發現的複雜惡意軟體家族已經重新出現併發生了重大變化。 

該惡意軟體以其遠端訪問木馬 (RAT) 功能而聞名，包括鍵盤記錄、螢幕控制和簡訊讀寫，使威脅行為者能夠執行裝置欺詐 (ODF)，這是一種非常危險的銀行欺詐形式。

最近的發現表明，新的 Medusa 樣本與舊版本之間存在差異，後續版本採用了更輕量的許可權集和新功能，例如全屏覆蓋顯示和遠端解除安裝應用程式。 

Medusa 最初針對的是土耳其金融機構，但到 2022 年已擴充到北美和歐洲。其 RAT 功能允許威脅行為者使用 VNC 完全控制受感染的裝置，以實現實時螢幕共享和輔助功能服務。這有利於實施諸如賬戶接管 (ATO) 和自動轉賬系統 (ATS) 欺詐等危險攻擊。

Cleafy 現已發現由關聯方運營的五個不同的殭屍網路，每個殭屍網路都針對不同的地理區域並使用獨特的誘餌。目標現在不僅包括土耳其和西班牙，還包括法國和義大利。還觀察到分發策略的顯著轉變，威脅行為者使用“droppers”透過虛假更新程式分發惡意軟體。

該惡意軟體透過與攻擊者基礎設施的網路安全套接字連線來協調其功能，從 Telegram 和 X（以前稱為 Twitter）等社交媒體資料中動態獲取命令和控制 (C2) 伺服器 URL。這種動態檢索提高了抵禦攻擊企圖的彈性。

最新的 Medusa 變體的戰略轉變是最大限度地減少所需許可權並逃避檢測，從而使其能夠在更長時間內不被發現地執行。 

諮詢報告中指出：“減少的許可權、地理多樣化以及複雜的分銷方式，凸顯了美杜莎不斷發展的本質。 ”

“隨著威脅行為者不斷改進其策略，網路安全專家和反欺詐分析師必須保持警惕，並調整防禦措施以應對這些新出現的威脅。”