4个危险的巴西银行木马正试图抢劫世界各地的用户。这种被研究人员统称为“tetrads”的恶意软件——包括Guildma、Javali、Melcoz和Grandoreiro——已经发展成为一个后门,并采用各种混淆技术来隐藏其恶意活动,使其不受安全软件的攻击。卡巴斯基在一份分析报告中指出:“Guildma、Javali、Melcoz和Grandoreiro是巴西银行集团/业务部门决定将其攻击范围扩大到其他国家的银行的另一个例子。”许多在巴西经营的银行在拉丁美洲和欧洲其他地方也有业务,因此这使他们很容易扩大对这些金融机构客户的攻击。”多阶段恶意软件部署过程Guildma和Javali都采用多阶段恶意软件部署过程利用网络钓鱼电子邮件作为分发初始有效载荷的机制。卡巴斯基发现,自2015年成立以来,Guildma不仅为其活动添加了新功能和隐身性,而且还扩展到巴西以外的新目标以攻击银行用户在拉丁美洲。例如,较新版本的恶意软件使用压缩电子邮件附件(例如.VBS、.LNK)作为攻击向量来掩盖恶意负载,或者执行一段JavaScript代码来下载文件并使用合法命令提取其他文件-line工具(例如BITSAdmin)模块。最重要的是,它利用NTFS备用数据流来隐藏目标中下载的有效负载的存在系统和DLL搜索顺序劫持以启动恶意软件二进制文件,只有在没有调试和虚拟化工具进一步执行的环境中才有可能。“为了执行附加模块,恶意软件使用进程挖空将恶意负载隐藏在白名单进程中,例如主进程卡。这些模块是从攻击者控制的服务器下载的,其信息采用加密格式,”巴尔斯基说。存储在Facebook和YouTube页面中。安装后,最终有效负载会监控特定的银行网站,这些网站在打开时会触发一系列操作,使网络犯罪分子能够使用受害者的计算机执行任何金融交易。同样,Javali(自2017年11月起活跃)下载电子邮件以从远程C2传送有效负载,用于能够访问加密货币网站(Bittrex)或窃取巴西和墨西哥金融登录信息(MercadoPago)用户密码的最终阶段恶意软件。窃取密码和比特币钱包Melcoz是用于远程访问PC的开源RAT的一种变体,自2018年以来一直与智利和墨西哥的一系列攻击有关。该恶意软件能够从剪贴板、浏览器和比特币钱包中窃取密码,该方法是用对手拥有的可疑替代品替换原始钱包信息。它利用系统上安装程序包文件(MSI)中的VBS脚本下载恶意软件,然后滥用AutoIt解释器和VMwareNAT服务在目标系统上加载恶意DLL。“这种恶意软件使攻击者能够通过在受害者的浏览器前显示一个覆盖窗口来在后台操纵用户的会话。通过这种方式,欺诈性交易是从受害者的机器上进行的,”研究人员说。这使得在银行方面发现反欺诈解决方案变得更加困难。”此外,攻击者可以请求在银行交易期间询问的特定信息,例如一次性密码,从而绕过双因素身份验证。自2016年以来,Grandoreiro一直在跟踪遍及巴西、墨西哥、葡萄牙和西班牙。除了使用域生成算法(DGA)隐藏攻击期间使用的C2地址外,恶意软件本身托管在Google站点页面上,并通过受感染的网站和Google进行分发广告或鱼叉式网络钓鱼方法。卡巴斯基总结道:“巴西的骗子正在迅速建立附属公司的生态系统,招募网络犯罪分子与其他国家合作,采用MaaS(恶意软件即服务)并迅速将新技术添加到他们的恶意软件中,以保持其对合作伙伴的相关性和经济吸引力。”“这些银行木马试图通过使用DGA、加密有效负载、进程挖空、DLL劫持、大量LoLBins、无文件感染等技巧来阻碍分析和检测。我们相信这些威胁将演变为针对更多国家/地区的更多银行。”
