4种危险的巴西银行木马正试图抢劫全球用户

安全
周二,卡巴斯基网络安全研究人员详细描述了四个不同的巴西银行木马,这些木马针对着巴西、拉丁美洲和欧洲等地区的金融机构。

周二,卡巴斯基网络安全研究人员详细描述了四个不同的巴西银行木马,这些木马针对着巴西、拉丁美洲和欧洲等地区的金融机构。

研究人员将其统称为“四分体”,这些恶意软件包括Guildma、Javali、Melcoz和Grandoreiro——已经进化出了作为后门的功能,并采用了各种模糊处理技术来隐藏其恶意活动,使其不受安全软件的攻击。

卡巴斯基在一份分析报告中指出:“Guildma、Javali、Melcoz和Grandoreiro是另一家巴西银行集团/业务部门的例子,该集团已决定将攻击范围扩大到国外,瞄准其他国家的银行。”

“许多在巴西经营的银行也在拉丁美洲和欧洲等其他地方有业务,所以这使它们很容易扩大对这些金融机构客户的攻击。”

多阶段恶意软件部署过程

Guildma和Javali都采用了多阶段恶意软件部署过程,利用钓鱼电子邮件作为分发初始有效负载的机制。

卡巴斯基发现,Guildma自2015年诞生以来,不仅在其活动中增加了新的功能和隐蔽性,而且还扩展到了巴西以外的新目标,来攻击拉丁美洲的银行用户。

例如,新版本的恶意软件使用压缩电子邮件附件(例如.VBS、.LNK)作为攻击载体,来掩盖恶意负载,或执行一段JavaScript代码以下载该文件并提取其他文件使用的合法命令行工具(如BITSAdmin)的模块。

最重要的是,它利用NTFS备用数据流来隐藏目标系统中下载的有效负载的存在,并利用DLL搜索顺序劫持来启动恶意软件二进制文件,仅在环境没有调试和虚拟化工具的情况下,才能进一步执行。

1594886434.png!small

巴斯基表示“为了执行附加模块,恶意软件使用了进程空心技术将恶意负载隐藏在白名单进程中,例如主进程卡。这些模块是从攻击者控制的服务器下载的,服务器的信息以加密格式存储在Facebook和YouTube页面中。

一旦安装好,最终的有效负载将监视特定的银行网站,这些网站在打开后会触发一系列操作,使网络犯罪分子可以使用受害者的计算机执行任何金融交易。

类似地,Javali(自2017年11月开始活跃)通过下载电子邮件来发送有效负载,从远程C2获取最终阶段的恶意软件,该恶意软件能够访问加密货币网站(Bittrex)或窃取巴西和墨西哥用户的财务登录信息(Mercado Pago)。

窃取密码和比特币钱包

Melcoz是开源RAT远程访问PC的一个变种,自2018年以来一直与智利和墨西哥的一系列攻击有关,该恶意软件能够从剪贴板、浏览器和比特币钱包中窃取密码,方法是用对手拥有的可疑替代品替换原始钱包信息。

它利用安装程序包文件(MSI)中的VBS脚本在系统上,下载恶意软件,然后滥用AutoIt解释器和VMware NAT服务在目标系统上加载恶意DLL。

研究人员说:“这种恶意软件使攻击者能够在受害者的浏览器前显示一个覆盖窗口,从而在后台操纵用户的会话。通过这种方式,欺诈交易是从受害者的机器上进行的,这使得在银行端更难发现反欺诈解决方案。”

此外,攻击者还可以请求在银行交易期间询问的特定信息,例如一次性密码,从而绕过双因素身份验证。

1594886467.png!small

自2016年以来,已追踪到Grandoreiro遍布巴西,墨西哥,葡萄牙和西班牙的攻击活动,除了使用域生成算法(DGA)隐藏攻击过程中使用的C2地址之外,该恶意软件本身还托管在Google站点页面上,并通过受感染的网站和Google Ads或鱼叉式网络钓鱼方法进行分发。

卡巴斯基总结说:“巴西的骗子正在迅速建立一个由附属公司组成的生态系统,招募网络犯罪分子与其他国家合作,采用MaaS(恶意软件即服务)并迅速在其恶意软件中添加新技术,以保持其相关性和对合作伙伴的经济吸引力。”

“这些银行木马试图通过使用DGA、加密有效负载、进程空心化、DLL劫持、大量LoLBins、无文件感染等伎俩作为阻碍分析和检测的手段。我们相信,这些威胁将演变为针对更多国家的更多银行。”

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2011-09-09 17:52:50

杨致远雅虎

2015-07-30 16:49:38

巴西C&CFreeStor虚拟化

2016-07-11 11:34:01

2015-07-02 14:40:34

2020-07-14 13:24:35

木马Ursnif恶意软件

2013-12-25 09:59:48

2023-10-23 10:43:48

2013-05-21 16:20:40

2012-04-19 11:19:19

2021-09-14 09:00:08

银行木马木马QakBo

2022-03-02 10:53:32

木马恶意软件

2015-01-14 15:55:08

信息化银行巴西CAIXA银行华为

2010-07-30 15:20:17

2011-02-25 11:19:21

2021-07-06 12:22:03

TrickBot木马网络攻击

2013-07-26 09:25:31

2013-09-11 16:17:03

2014-12-24 14:17:36

2009-05-25 10:06:48

2022-08-18 12:08:07

恶意软件网络攻击
点赞
收藏

51CTO技术栈公众号