据外媒 1 月 6 日报道，黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium （ CFM ）的官方网站散布恶意软件，分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取，且具有一定规模的传播范围。

此次攻击发生于 2017 年 8 月乌克兰独立日假期前后，乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ，用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此，攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件，这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器，也没有在早前的 Nyetya 协议中看到相同级别的访问。

在这次攻击中，恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开，Javascript 就会被执行，并导致系统检索恶意软件的 playload，运行后 Zeus 银行木马病毒将会感染系统。

思科 Talos 统计：受Zeus银行木马新变种影响的地区自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来，其他威胁行为者从恶意代码中获得灵感，将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用：

一旦在系统上执行，恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下，那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项，以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染，恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。

研究人员表示，大多数被恶意软件感染的系统都位于乌克兰和美国，乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。

研究人员称越来越多的攻击者试图滥用受信任的软件制造商，并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境，攻击者正在不断改进其攻击方法。

(责任编辑：冬天的宇)