自2019年起，意大业就有人一直利用一种名为drIBAN的利企利用新型网络注入工具包实施金融欺诈活动 ，这次他们将目标瞄准了意大利企业银行客户。行客

Cleafy研究人员费德里科·瓦伦蒂尼和亚历山德罗·斯特里诺表示：drIBAN欺诈行动的户遭黑客主要目的是感染企业环境中的Windows工作站 ，试图通过改变受益人并将钱转移到一个非法的攻击银行账户来改变受害者进行的合法银行转账 。

根据这家意大利网络安全公司的实施说法，这些银行账户要么由威胁行为者自己控制，金融要么由他们的欺诈附属机构控制 ，香港云服务器此外这些附属机构还会负责洗钱。意大业使用网络注入是利企利用一种久经考验的策略 ，它使恶意软件有可能通过浏览器中人（MitB）攻击的行客方式在客户端注入自定义脚本，并拦截进出服务器的户遭黑客流量。

欺诈性交易通常是攻击通过一种叫做自动转账系统(ATS)的技术来实现的，这种技术能够绕过银行设置的实施反欺诈系统，从受害者自己的金融电脑上发起未经授权的建站模板电汇
。

多年来 ，除了在企业银行网络中建立长期立足点外 ，drIBAN背后的运营商在避免被发现和开发有效的社会工程策略方面变得更加精明。

Cleafy表示，在2021年经典的“银行木马”逐步演变成了一个持续性的高级威胁。有迹象表明，该活动集群与Proofpoint跟踪的一个活动重叠 ，该活动是由一个名为TA554的参与者于2018年发起的模板下载，主要针对加拿大、意大利和英国的用户。

从经过认证的电子邮件(或PEC电子邮件)开始，攻击链会让受害者感受到一种虚假的安全感。这些钓鱼邮件通常带有一个可执行文件，作为恶意软件sLoad(又名Starslord loader)的下载程序。

sLoad是一个PowerShell加载器 ，同时也是一个侦察工具
，可以从受感染的高防服务器主机收集和泄露信息以达到评估目标的最终目的，并在认定目标后投放有效载荷(如Ramnit)。

Cleafy还表示：这个富集阶段可能会持续数天或数周，具体时间取决于受感染机器的数量。数据被渗透的越多，僵尸网络也会变得越稳固 
。

此外，sLoad还通过滥用合法的Windows工具(如PowerShell和BITSAdmin)来利用离线(LotL)技术作为其规避机制的一部分。

该恶意软件的另一个特点是服务器租用，它能够对照检查预定义的企业银行机构列表  ，以确定被黑客攻击的工作站是否是目标之一，如果确定是目标将会继续。

研究人员表示 ：所有成功通过这些步骤的人就会被僵尸网络运营商选中，被其视为后续实施银行欺诈操作的新候选人，然后自动安装名为Ramnit的木马 ，这也是源码下载最先进的银行木马之一
。

参考链接：https://thehackernews.com/2023/05/hackers-targeting-italian-corporate.html