这款银行木马被发现使用了NSA“永恒之蓝”EXP

研究人员发现了一款名为Retefe的银行木马，这款木马使用了与美国国家安全局相关的永恒之蓝exp。

跟之前使用永恒之蓝的病毒不同，这个银行木马没有用exp进行循环传播。

事实上，病毒是通过垃圾邮件传播的，而通过永恒之蓝漏洞传播的病毒版本没有exp。

永恒之蓝是一款跟NSA有关的exp，今年三月，微软发布了针对漏洞的补丁，一个月后，

shadowbrokers公布了exp。这个漏洞利用Windows服务器消息(SMB)中的漏洞，使用445端口自动传播恶意程序。

而在今年5月的WannaCry勒索事件中，病毒作者也是使用了这款exp使得传统的勒索病毒具备蠕虫特性，因此造成了病毒广泛传播。

最近一次针对瑞士用户的攻击中，Proofpoint从收集到的部分Retefe样本中发现它也使用了永恒之蓝进行横向传播。

Retefe银行木马自2013年开始活跃，主要的攻击目标是澳大利亚、瑞士、瑞典和日本的用户。

恶意软件会把银行的流量引导到代理服务器，代理服务器往往架设在Tor网络中。

工作原理

最近，病毒往往通过垃圾邮件传播，邮件附件是一个微软office文档。利用社会工程学，攻击者会让用户下载恶意payload。

最近的攻击中，下载的payload是一个自解压的zip文件，文件里面是一个经过多重混淆的Javascript安装器。

研究代码后研究人员发现，最近的样本中包含一个新的参数，用来调用永恒之蓝exp。

这些代码参考了github上的一段poc代码，但是代码中还包含安装记录和配置细节。上周，参数被调整，只剩下了记录功能。

“永恒之蓝exp会从远程服务器下载PowerShell脚本，该服务器本身包含一个安装Retefe的嵌入式可执行文件。
Proofpoint表示，这种安装方式没有能让EternalBlue进一步横向传播的模块，因此没有进行循环传播。”

研究人员还发现，今年6月和8月的病毒版本还兼容了MacOS。

Proofpoint还指出，“虽然Retefe的传播远远不如Dridex或The Trick这样的其他银行木马，但以瑞士银行为重点，Retefe有很多高级目标。
此外，我们正在观察到病毒的针对性攻击愈发增加，随着永恒之蓝exp的加入，一旦有目标主机被入侵，就可能在网络中进一步传播。”