hanci 恶意软件Hancitor仍在不断发展 诱饵文档散布全球Web服务器

在过去的两年里，帕洛阿尔托网络公司的42单元威胁研究小组一直在跟踪通过垃圾邮件传播的恶意软件Hancitor。事实证明，它是在多年的发展中“进化”出来的。

Hancitor，也称为Chanitor或Tordal，是一种基于宏的恶意软件，通过在垃圾电子邮件活动中分发的微软办公文档进行传播。Hancitor被设计成充当其他恶意软件的下载器，最终通过其他恶意软件感染Windows电脑，如银行木马或ransomware(如Pony、Vawtrak、DELoade)。

第42单元表明，Hancitor的影响相当有限。在默认配置的Windows 10主机上，微软内置的Windows Defender杀毒工具就可以轻松检测到。此外，许多电子邮件过滤器可以检测到这些垃圾邮件。

那么，韩克托到底为谁工作？理想的目标受害者是运行过时版本的Windows 7的计算机用户，例如禁用防病毒的Windows 7。

42单元在2月7日的一篇博文中报道说，他们每个月都检测到数百份汉西托的样本。根据2017年收集的数据可以推断，汉驰特运营团队的工作时间为周一至周五，每周工作五天。

最初，Hancitor运营团队仅使用垃圾邮件附件来感染受害者。然而，电子邮件过滤近年来有所改进。目前，大多数企业级安全解决方案侧重于电子邮件附件，这种附件可以轻松检测恶意文件，最终影响攻击者的成功率。

为了避免进一步被发现，自2016年底以来，汉基托运营团队在感染过程中迈出了重要的一步。电子邮件中的链接不再指向恶意附件，而是指向托管用于分发Hancitor诱饵的文档的网络服务器。

这些Web服务器要么被Hancitor的运营团队劫持(攻击亚洲国家中小企业的合法网站)，要么被托管服务提供商建立欺诈账户(这种情况主要发生在美国)，分布在全球多个国家和地区。

截至2017年12月，诱饵文件显然主要通过托管服务提供商的欺诈账户分发。但成功感染后，会从其他Web服务器下载更多的恶意软件，这些服务器通常是合法网站。

第42单元的结论是，Hancitor的分发活动持续时间较长的一个关键因素是对托管服务提供商的滥用，另一个关键因素是世界各地存在大量易受攻击的服务器，因此网络犯罪集团可以劫持它们来托管恶意软件。此外，运行旧Windows系统的计算机用户可能要更加注意处理像Hancitor这样的恶意软件。

本文由黑客视觉综合网整理，图片来自网络；请注明“从黑客视觉转移”，并附上链接。