周二，卡巴斯基網(wǎng)絡安全研究人員詳細描述了四個不同的巴西銀行木馬，這些木馬針對著巴西、拉丁美洲和歐洲等地區(qū)的金融機構(gòu)。

研究人員將其統(tǒng)稱為“四分體”，這些惡意軟件包括Guildma、Javali、Melcoz和Grandoreiro——已經(jīng)進化出了作為后門的功能，并采用了各種模糊處理技術(shù)來隱藏其惡意活動，使其不受安全軟件的攻擊。

卡巴斯基在一份分析報告中指出：“Guildma、Javali、Melcoz和Grandoreiro是另一家巴西銀行集團/業(yè)務部門的例子，該集團已決定將攻擊范圍擴大到國外，瞄準其他國家的銀行。”

“許多在巴西經(jīng)營的銀行也在拉丁美洲和歐洲等其他地方有業(yè)務，所以這使它們很容易擴大對這些金融機構(gòu)客戶的攻擊。”

多階段惡意軟件部署過程

Guildma和Javali都采用了多階段惡意軟件部署過程，利用釣魚電子郵件作為分發(fā)初始有效負載的機制。

卡巴斯基發(fā)現(xiàn)，Guildma自2015年誕生以來，不僅在其活動中增加了新的功能和隱蔽性，而且還擴展到了巴西以外的新目標，來攻擊拉丁美洲的銀行用戶。

例如，新版本的惡意軟件使用壓縮電子郵件附件(例如.VBS、.LNK)作為攻擊載體，來掩蓋惡意負載，或執(zhí)行一段JavaScript代碼以下載該文件并提取其他文件使用的合法命令行工具(如BITSAdmin)的模塊。

最重要的是，它利用NTFS備用數(shù)據(jù)流來隱藏目標系統(tǒng)中下載的有效負載的存在，并利用DLL搜索順序劫持來啟動惡意軟件二進制文件，僅在環(huán)境沒有調(diào)試和虛擬化工具的情況下，才能進一步執(zhí)行。

巴斯基表示“為了執(zhí)行附加模塊，惡意軟件使用了進程空心技術(shù)將惡意負載隱藏在白名單進程中，例如主進程卡。這些模塊是從攻擊者控制的服務器下載的，服務器的信息以加密格式存儲在Facebook和YouTube頁面中。

一旦安裝好，最終的有效負載將監(jiān)視特定的銀行網(wǎng)站，這些網(wǎng)站在打開后會觸發(fā)一系列操作，使網(wǎng)絡犯罪分子可以使用受害者的計算機執(zhí)行任何金融交易。

類似地，Javali(自2017年11月開始活躍)通過下載電子郵件來發(fā)送有效負載，從遠程C2獲取最終階段的惡意軟件，該惡意軟件能夠訪問加密貨幣網(wǎng)站(Bittrex)或竊取巴西和墨西哥用戶的財務登錄信息(Mercado Pago)。

竊取密碼和比特幣錢包

Melcoz是開源RAT遠程訪問PC的一個變種，自2018年以來一直與智利和墨西哥的一系列攻擊有關，該惡意軟件能夠從剪貼板、瀏覽器和比特幣錢包中竊取密碼，方法是用對手擁有的可疑替代品替換原始錢包信息。

它利用安裝程序包文件(MSI)中的VBS腳本在系統(tǒng)上，下載惡意軟件，然后濫用AutoIt解釋器和VMware NAT服務在目標系統(tǒng)上加載惡意DLL。

研究人員說：“這種惡意軟件使攻擊者能夠在受害者的瀏覽器前顯示一個覆蓋窗口，從而在后臺操縱用戶的會話。通過這種方式，欺詐交易是從受害者的機器上進行的，這使得在銀行端更難發(fā)現(xiàn)反欺詐解決方案。”

此外，攻擊者還可以請求在銀行交易期間詢問的特定信息，例如一次性密碼，從而繞過雙因素身份驗證。

自2016年以來，已追蹤到Grandoreiro遍布巴西，墨西哥，葡萄牙和西班牙的攻擊活動，除了使用域生成算法(DGA)隱藏攻擊過程中使用的C2地址之外，該惡意軟件本身還托管在Google站點頁面上，并通過受感染的網(wǎng)站和Google Ads或魚叉式網(wǎng)絡釣魚方法進行分發(fā)。

卡巴斯基總結(jié)說：“巴西的騙子正在迅速建立一個由附屬公司組成的生態(tài)系統(tǒng)，招募網(wǎng)絡犯罪分子與其他國家合作，采用MaaS(惡意軟件即服務)并迅速在其惡意軟件中添加新技術(shù)，以保持其相關性和對合作伙伴的經(jīng)濟吸引力。”

“這些銀行木馬試圖通過使用DGA、加密有效負載、進程空心化、DLL劫持、大量LoLBins、無文件感染等伎倆作為阻礙分析和檢測的手段。我們相信，這些威脅將演變?yōu)獒槍Ω鄧业母嚆y行。”