4个危险的巴西银行特洛伊木马，目前正试图在全球范围内抢劫用户

周二，网络安全研究人员详细介绍了多达四个不同的巴西银行特洛伊木马家族，这些木马以巴西、拉丁美洲和欧洲的金融机构为目标。

被卡巴斯基研究人员统称为“四分体”的恶意软件家族—；包括Guildma、Javali、Melcoz和Grandoreiro；他们已经发展了作为后门的功能，并采用了各种模糊技术来隐藏安全软件的恶意活动。

卡巴斯基在一份分析报告中说：“吉尔达、贾瓦利、梅尔科兹和格兰多雷罗是另一家巴西银行集团/业务的例子，它们已决定将攻击范围扩大到海外，针对其他国家的银行”。

“许多在巴西运营的银行在拉丁美洲和欧洲的其他地方也有业务，这让他们很容易扩大对这些金融机构客户的攻击，这让他们受益匪浅。”

多阶段恶意软件部署过程

Guildma和Javali都采用多阶段恶意软件部署过程，使用钓鱼电子邮件作为分发初始有效负载的机制。

卡巴斯基发现，自2015年成立以来，Guildma不仅为其活动增加了新功能和隐蔽性，而且还扩展到巴西以外的新目标，以攻击拉丁美洲的银行用户。

例如，恶意软件的新版本使用压缩电子邮件附件（例如.vbs，.nk）作为攻击向量来屏蔽恶意的有效载荷或HTML文件，该文件执行JavaScript代码以下载文件，并使用像BITSAdmin这样的合法命令行工具来获取其他模块。

最重要的是，它利用NTFS备用数据流来隐藏目标系统中存在的下载有效负载，并利用DLL搜索顺序劫持来启动恶意软件二进制文件，只有在环境没有调试和虚拟化工具的情况下才能进一步进行。


卡巴斯基说：“为了执行额外的模块，恶意软件使用进程空洞技术将恶意负载隐藏在一个白名单进程中，比如svchost.exe”。这些模块是从攻击者控制的服务器下载的，该服务器的信息以加密格式存储在Facebook和YouTube页面中。

一旦安装，最终的有效载荷会监控特定的银行网站，一旦打开，就会触发一系列操作，允许网络犯罪分子使用受害者的计算机执行任何金融交易。

类似地，Javali（自2017年11月起生效）下载通过电子邮件发送的有效载荷，从远程C2获取最终阶段恶意软件，该软件能够从访问加密货币网站（Bittrex）或支付解决方案（Mercado Pago）的巴西和墨西哥用户那里窃取财务和登录信息。

窃取密码和比特币钱包

自2018年以来，开源RAT远程访问PC的变种Melcoz与智利和墨西哥的一系列攻击有关，该恶意软件能够窃取浏览器的密码，以及剪贴板和比特币钱包中的信息，方法是用对手拥有的可疑替代品替换原始钱包细节。

它利用安装程序包文件（.MSI）中的VBS脚本在系统上下载恶意软件，然后滥用AutoIt解释器和VMware NAT服务在目标系统上加载恶意DLL。

研究人员说：“恶意软件使攻击者能够在受害者的浏览器前显示一个覆盖窗口，以便在后台操纵用户的会话”。“通过这种方式，欺诈交易是从受害者的机器上执行的，这使得银行端更难发现反欺诈解决方案。”

此外，威胁参与者还可以请求在银行交易期间请求的特定信息，例如一次性密码，从而绕过双因素身份验证。


最后，Grandoreiro被追踪到自2016年以来遍布巴西、墨西哥、葡萄牙和西班牙的一场活动，攻击者利用受害者的电脑规避银行使用的安全措施，进行欺诈性银行交易。

除了使用域生成算法（DGA）隐藏攻击期间使用的C2地址外，该恶意软件本身托管在谷歌网站页面上，并通过受损网站和谷歌广告或鱼叉式钓鱼方法交付。

卡巴斯基总结道：“巴西骗子正在迅速建立一个分支机构生态系统，招募网络犯罪分子在其他国家合作，采用MaaS（恶意软件即服务），并迅速在恶意软件中添加新技术，以保持其对合作伙伴的相关性和经济吸引力”。

“作为一种威胁，这些银行特洛伊木马家族试图通过使用DGA、加密有效负载、进程空洞化、DLL劫持、大量LoLBins、无文件感染和其他伎俩来进行创新，以阻碍分析和检测。我们相信，这些威胁将演变为针对更多国家的更多银行的威胁。”