行业新闻与博客

人们发现了涉及 Medusa（TangleBot）银行木马的新的欺诈活动，该木马近一年来一直逃避检测。 

Cleafy 研究人员上周发布的一项分析显示，这个于 2020 年首次发现的复杂恶意软件家族已经重新出现并发生了重大变化。 

该恶意软件以其远程访问木马 (RAT) 功能而闻名，包括键盘记录、屏幕控制和短信读写，使威胁行为者能够执行设备欺诈 (ODF)，这是一种非常危险的银行欺诈形式。

最近的发现表明，新的 Medusa 样本与旧版本之间存在差异，后续版本采用了更轻量的权限集和新功能，例如全屏覆盖显示和远程卸载应用程序。 

Medusa 最初针对的是土耳其金融机构，但到 2022 年已扩展到北美和欧洲。其 RAT 功能允许威胁行为者使用 VNC 完全控制受感染的设备，以实现实时屏幕共享和辅助功能服务。这有利于实施诸如账户接管 (ATO) 和自动转账系统 (ATS) 欺诈等危险攻击。

Cleafy 现已发现由关联方运营的五个不同的僵尸网络，每个僵尸网络都针对不同的地理区域并使用独特的诱饵。目标现在不仅包括土耳其和西班牙，还包括法国和意大利。还观察到分发策略的显著转变，威胁行为者使用“droppers”通过虚假更新程序分发恶意软件。

该恶意软件通过与攻击者基础设施的网络安全套接字连接来协调其功能，从 Telegram 和 X（以前称为 Twitter）等社交媒体资料中动态获取命令和控制 (C2) 服务器 URL。这种动态检索提高了抵御攻击企图的弹性。

最新的 Medusa 变体的战略转变是最大限度地减少所需权限并逃避检测，从而使其能够在更长时间内不被发现地运行。 

咨询报告中指出：“减少的权限、地理多样化以及复杂的分销方式，凸显了美杜莎不断发展的本质。 ”

“随着威胁行为者不断改进其策略，网络安全专家和反欺诈分析师必须保持警惕，并调整防御措施以应对这些新出现的威胁。”