4種危險的巴西銀行木馬正試圖搶劫全球用戶
周二,卡巴斯基網(wǎng)絡(luò)安全研究人員詳細(xì)描述了四個不同的巴西銀行木馬,這些木馬針對著巴西、拉丁美洲和歐洲等地區(qū)的金融機(jī)構(gòu)。
研究人員將其統(tǒng)稱為“四分體”,這些惡意軟件包括Guildma、Javali、Melcoz和Grandoreiro——已經(jīng)進(jìn)化出了作為后門的功能,并采用了各種模糊處理技術(shù)來隱藏其惡意活動,使其不受安全軟件的攻擊。
卡巴斯基在一份分析報告中指出:“Guildma、Javali、Melcoz和Grandoreiro是另一家巴西銀行集團(tuán)/業(yè)務(wù)部門的例子,該集團(tuán)已決定將攻擊范圍擴(kuò)大到國外,瞄準(zhǔn)其他國家的銀行。”
“許多在巴西經(jīng)營的銀行也在拉丁美洲和歐洲等其他地方有業(yè)務(wù),所以這使它們很容易擴(kuò)大對這些金融機(jī)構(gòu)客戶的攻擊。”
多階段惡意軟件部署過程
Guildma和Javali都采用了多階段惡意軟件部署過程,利用釣魚電子郵件作為分發(fā)初始有效負(fù)載的機(jī)制。
卡巴斯基發(fā)現(xiàn),Guildma自2015年誕生以來,不僅在其活動中增加了新的功能和隱蔽性,而且還擴(kuò)展到了巴西以外的新目標(biāo),來攻擊拉丁美洲的銀行用戶。
例如,新版本的惡意軟件使用壓縮電子郵件附件(例如.VBS、.LNK)作為攻擊載體,來掩蓋惡意負(fù)載,或執(zhí)行一段JavaScript代碼以下載該文件并提取其他文件使用的合法命令行工具(如BITSAdmin)的模塊。
最重要的是,它利用NTFS備用數(shù)據(jù)流來隱藏目標(biāo)系統(tǒng)中下載的有效負(fù)載的存在,并利用DLL搜索順序劫持來啟動惡意軟件二進(jìn)制文件,僅在環(huán)境沒有調(diào)試和虛擬化工具的情況下,才能進(jìn)一步執(zhí)行。
巴斯基表示“為了執(zhí)行附加模塊,惡意軟件使用了進(jìn)程空心技術(shù)將惡意負(fù)載隱藏在白名單進(jìn)程中,例如主進(jìn)程卡。這些模塊是從攻擊者控制的服務(wù)器下載的,服務(wù)器的信息以加密格式存儲在Facebook和YouTube頁面中。
一旦安裝好,最終的有效負(fù)載將監(jiān)視特定的銀行網(wǎng)站,這些網(wǎng)站在打開后會觸發(fā)一系列操作,使網(wǎng)絡(luò)犯罪分子可以使用受害者的計算機(jī)執(zhí)行任何金融交易。
類似地,Javali(自2017年11月開始活躍)通過下載電子郵件來發(fā)送有效負(fù)載,從遠(yuǎn)程C2獲取最終階段的惡意軟件,該惡意軟件能夠訪問加密貨幣網(wǎng)站(Bittrex)或竊取巴西和墨西哥用戶的財務(wù)登錄信息(Mercado Pago)。
竊取密碼和比特幣錢包
Melcoz是開源RAT遠(yuǎn)程訪問PC的一個變種,自2018年以來一直與智利和墨西哥的一系列攻擊有關(guān),該惡意軟件能夠從剪貼板、瀏覽器和比特幣錢包中竊取密碼,方法是用對手擁有的可疑替代品替換原始錢包信息。
它利用安裝程序包文件(MSI)中的VBS腳本在系統(tǒng)上,下載惡意軟件,然后濫用AutoIt解釋器和VMware NAT服務(wù)在目標(biāo)系統(tǒng)上加載惡意DLL。
研究人員說:“這種惡意軟件使攻擊者能夠在受害者的瀏覽器前顯示一個覆蓋窗口,從而在后臺操縱用戶的會話。通過這種方式,欺詐交易是從受害者的機(jī)器上進(jìn)行的,這使得在銀行端更難發(fā)現(xiàn)反欺詐解決方案。”
此外,攻擊者還可以請求在銀行交易期間詢問的特定信息,例如一次性密碼,從而繞過雙因素身份驗證。
自2016年以來,已追蹤到Grandoreiro遍布巴西,墨西哥,葡萄牙和西班牙的攻擊活動,除了使用域生成算法(DGA)隱藏攻擊過程中使用的C2地址之外,該惡意軟件本身還托管在Google站點(diǎn)頁面上,并通過受感染的網(wǎng)站和Google Ads或魚叉式網(wǎng)絡(luò)釣魚方法進(jìn)行分發(fā)。
卡巴斯基總結(jié)說:“巴西的騙子正在迅速建立一個由附屬公司組成的生態(tài)系統(tǒng),招募網(wǎng)絡(luò)犯罪分子與其他國家合作,采用MaaS(惡意軟件即服務(wù))并迅速在其惡意軟件中添加新技術(shù),以保持其相關(guān)性和對合作伙伴的經(jīng)濟(jì)吸引力。”
“這些銀行木馬試圖通過使用DGA、加密有效負(fù)載、進(jìn)程空心化、DLL劫持、大量LoLBins、無文件感染等伎倆作為阻礙分析和檢測的手段。我們相信,這些威脅將演變?yōu)獒槍Ω鄧业母嚆y行。”
