周二,卡巴斯基网络安全研究人员详细描述了四个不同的巴西银行木马,这些木马针对着巴西、拉丁美洲和欧洲等地区的金融机构。
研究人员将其统称为“四分体”,这些恶意软件包括Guildma、Javali、Melcoz和Grandoreiro——已经进化出了作为后门的功能,并采用了各种模糊处理技术来隐藏其恶意活动,使其不受安全软件的攻击。
卡巴斯基在一份分析报告中指出:“Guildma、Javali、Melcoz和Grandoreiro是另一家巴西银行集团/业务部门的例子,该集团已决定将攻击范围扩大到国外,瞄准其他国家的银行。”
“许多在巴西经营的银行也在拉丁美洲和欧洲等其他地方有业务,所以这使它们很容易扩大对这些金融机构客户的攻击。”
多阶段恶意软件部署过程
Guildma和Javali都采用了多阶段恶意软件部署过程,利用钓鱼电子邮件作为分发初始有效负载的机制。
卡巴斯基发现,Guildma自2015年诞生以来,不仅在其活动中增加了新的功能和隐蔽性,而且还扩展到了巴西以外的新目标,来攻击拉丁美洲的银行用户。
例如,新版本的恶意软件使用压缩电子邮件附件(例如.VBS、.LNK)作为攻击载体,来掩盖恶意负载,或执行一段JavaScript代码以下载该文件并提取其他文件使用的合法命令行工具(如BITSAdmin)的模块。
最重要的是,它利用NTFS备用数据流来隐藏目标系统中下载的有效负载的存在,并利用DLL搜索顺序劫持来启动恶意软件二进制文件,仅在环境没有调试和虚拟化工具的情况下,才能进一步执行。
巴斯基表示“为了执行附加模块,恶意软件使用了进程空心技术将恶意负载隐藏在白名单进程中,例如主进程卡。这些模块是从攻击者控制的服务器下载的,服务器的信息以加密格式存储在Facebook和YouTube页面中。
一旦安装好,最终的有效负载将监视特定的银行网站,这些网站在打开后会触发一系列操作,使网络犯罪分子可以使用受害者的计算机执行任何金融交易。
类似地,Javali(自2017年11月开始活跃)通过下载电子邮件来发送有效负载,从远程C2获取最终阶段的恶意软件,该恶意软件能够访问加密货币网站(Bittrex)或窃取巴西和墨西哥用户的财务登录信息(Mercado Pago)。
窃取密码和比特币钱包
Melcoz是开源RAT远程访问PC的一个变种,自2018年以来一直与智利和墨西哥的一系列攻击有关,该恶意软件能够从剪贴板、浏览器和比特币钱包中窃取密码,方法是用对手拥有的可疑替代品替换原始钱包信息。
它利用安装程序包文件(MSI)中的VBS脚本在系统上,下载恶意软件,然后滥用AutoIt解释器和VMware NAT服务在目标系统上加载恶意DLL。
研究人员说:“这种恶意软件使攻击者能够在受害者的浏览器前显示一个覆盖窗口,从而在后台操纵用户的会话。通过这种方式,欺诈交易是从受害者的机器上进行的,这使得在银行端更难发现反欺诈解决方案。”
此外,攻击者还可以请求在银行交易期间询问的特定信息,例如一次性密码,从而绕过双因素身份验证。
自2016年以来,已追踪到Grandoreiro遍布巴西,墨西哥,葡萄牙和西班牙的攻击活动,除了使用域生成算法(DGA)隐藏攻击过程中使用的C2地址之外,该恶意软件本身还托管在Google站点页面上,并通过受感染的网站和Google Ads或鱼叉式网络钓鱼方法进行分发。
卡巴斯基总结说:“巴西的骗子正在迅速建立一个由附属公司组成的生态系统,招募网络犯罪分子与其他国家合作,采用MaaS(恶意软件即服务)并迅速在其恶意软件中添加新技术,以保持其相关性和对合作伙伴的经济吸引力。”
“这些银行木马试图通过使用DGA、加密有效负载、进程空心化、DLL劫持、大量LoLBins、无文件感染等伎俩作为阻碍分析和检测的手段。我们相信,这些威胁将演变为针对更多国家的更多银行。”