针对巴西的Metamorfo银行木马的攻击活动分析

早在今年的4月,FireEye实验室就公布了几起针对巴西公司的垃圾邮件进击,旨在传播银行木马。因为在实施进击的各个阶段,进击者应用多种技巧规避检测并传播恶意payload,使得钻研职员难以完备的阐发这类型进击。例如,火眼实验室检测发明,某次进击首先发送含有HTML附件的邮件,此中的附件重定向至一个谷歌短URL,而后者又将受害者重定向至云存储站点如GitHub、Dropbox或Google Drive下载一个ZIP文件,用户必须解压缩该文档并双击可履行文件,才能使感染链继承发挥感化。鉴于此,钻研职员将针对巴西企业的金融恶意软件活动,统称为 “Metamorfo (变形)”。

近来Metamorfo银行木马又开始生动了,且呈现了新的迭代形式。它们被进击者用来网络各类在线银行和金融办事网站的信用卡信息和登录凭证。思科Talos团队近来捕获了两个正在进行的Metamorfo银行木马样本,在阐发这些样本时,Talos发清楚明了一个专门的用于实施垃圾邮件活动的僵尸收集,如上所述,传播恶意垃圾邮件也是感染进程的一个环节 。

感染进程

在阐发这些活动时,Talos发清楚明了两个自力的感染进程,他们由此确信进击者在10月尾到11月初之间应用过这些进程。这些进击活动在最初的下载和感染进程中应用了不合的文件类型,并终极在针对巴西金融机构的历程中,形成了两个自力的银行木马。这两个进击活动虽然都对感染进程中应用的各类文件进行了自力的命名,但都应用了相同的命名规则,并且滥用短URL办事以掩饰笼罩实际应用的传播办事器。短URL办事的应用还容许进击者应用一些额外的机动进击措施,比这样多组织容许其员工在企业情况中造访短URL法度榜样,这可以使进击者将短URL转移到托管恶意文件的位置,同时还使他们能够在基于电子邮件的活动中使用这些合法办事。

进击活动1

Talos应用免费收集托管平台上的压缩文件,识别出了这些垃圾邮件活动。这些压缩文件包孕一个Windows LNK文件链接。在此进击活动中,文件名的命名款式如下:

Fatura-XXXXXXXXXX.zip

此中,“XXXXXXXXXX”是一个10位数的值。

LNK文件款式为:

Fatura pendente – XXXX.lnk

此中,“XXXX”是一个四位的包括字母与数字的值。

LNK文件的目的是下载带有图像文件扩展名(.bmp或.png)的PowerShell脚本:

此敕令的目的是经由过程进击者的URL下载并履行PowerShell脚本,与此同时,这个新天生的PowerShell脚本也被进击者进行了肴杂:

此脚本hXXps://s3-eu-west-1[.]amazonaws[.]com/killino2/image2.png.用于下载托管在Amazon Web Services(AWS)上的压缩文件。

该压缩文件解压缩后,会呈现两个文件:

A dynamic library (.DLL)

A compressed payload (.PRX)

有专门的库认真解压缩PRX文件并在远程进程(库注入)中履行它,这个被注入的代码便是本文后面要重点描述的终极有效载荷。

进击活动2

除了进击活动1中描述的感染进程外,Talos还察看到了别的一种进击活动,这些进击活动在受害系统上传播和履行恶意软件时,会分多个进击阶段履行。此进击活动彷佛也仅针对讲葡萄牙语的用户。

在各个阶段的进击活动中,进击者使用恶意PE32可履行文件来履行感染进程的初始阶段而不是传统的Windows快捷要领文件(LNK)。这些PE32可履行文件会应用以下命名规则,以ZIP压缩文件的形式出现给受害者:

Fatura-XXXXXXXXXX.zip

此中,“XXXXXXXXXX’”是一个10位数的值。

PE32可履行文件位于ZIP压缩文件中,这些可履行文件应用以下命名规则:

Fatura pendente – XXXX.exe

此中,“XXXX”是一个四位的包括字母与数字的值。

在履行恶意活动时,这些PE32文件会在%TEMP%的子目录中创建批处置惩罚文件。然后应用Windows敕令处置惩罚器履行批处置惩罚文件,着末在履行恶意PowerShell时,恶意软件会按照以下阐明,下载受进击者节制的办事器上托管的内容,并应用以下敕令将下载的内容发送给Invoke-Expression(IEX)。

接着,进击者会删除这些批处置惩罚文件,并继承感染进程。

假如受害者用这些短链接进行造访时,HTTP重定向会将客户端重定向到受进击者节制的办事器,该办事器会托管一个PowerShell脚本,该脚本被通报到IEX并按如上所述的历程履行。此时,办事器会供给以下PowerShel脚本。

这些PowerShell脚本会检索并履行正在发送给系统的恶意载荷,别的,这些PowerShell还使用了短链接办事,详细历程如上图所示。

应用短链接办事后,用户可以经由过程在缩短的URL末端添加“+”符号来获取更多信息。结果我们发明,该链接是在10月21日创建的,很可能是在进击活动开始之前,经由过程Bitly办事,钻研职员查到了已注册的点击数量,到今朝为止已经发清楚明了699次点击,Bitly是一家为人们供给网址和链接缩短、分享和跟踪办事的创业公司。

[1] [2]下一页

当HTTP哀求JPEG时,虽然指定的内容类型是“image/ JPEG”,但办事器实际上会传送包孕名为“b.dll”的Windows DLL文件的压缩文件。

然后脚本会履行休眠模式,让设备休眠10秒钟,然后加压缩文件并将DLL保存到系统上%APPDATA%的子目录中。然后应用RunDLL32来履行恶意软件,感染系统。因为在二进制文件中包孕大年夜量0x00,未压缩的DLL异常大年夜,大年夜小约为366MB。这可能被用于回避自动检测和阐发系统,由于许多系统无法精确处置惩罚大年夜型文件。类似的,这也将避免沙箱检测,由于大年夜多半沙箱不会运行这么大年夜的文件。

此外,在感染进程中,受感染的系统会指向进击者节制的办事器(srv99[.]tk)。

对与此域关联的DNS通信的阐发显示,考试测验解析此域的次数在赓续增添,这与已察看到的进击活动相对应。

可以看出,这些办理规划的哀求大年夜部分来自位于巴西的系统。PowerShell履行还匆匆进了与动态DNS办事的通信,与第一个进击活动中的短地址链接类似,钻研职员能够得到与此域相关的额外信息。

创建的光阴可以很清楚地看到,不过光阴是在进击活动开始的几天之后。这注解进击者会应用不合的电子邮件来发送相同的垃圾邮件信息。

创建一个专门用于创建电子邮件的僵尸收集系统

以上讲得这两个恶意活动的终纵目的都是为了传播银行木马。然则,Talos却发清楚明了Amazon S3 Bucket上托管的其他对象和恶意软件。这个恶意软件是一个远程治理对象,可以创建电子邮件。这些电子邮件是在BOL Online电子邮件平台上创建的,这是一个在巴西供给电子邮件托管和免费电子邮件办事的互联网门户,进击者的主要目标彷佛是创建一个专门用于创建电子邮件的僵尸收集系统。

因为恶意软件是用C#开拓的,包孕许多葡萄牙语,以下是用于创建BOL电子邮件的函数。

创建后,随机天生的用户名和密码将被发送到C2办事器。BOL Online应用CAPTCHA系统(验证码系统)防止设备创建电子邮件。为了绕过这种保护,恶意软件的开拓者应用了Recaptcha API和C2办事器供给的令牌。

在钻研职员查询造访历程中,所有创建的电子邮件都以”financeir.”为前缀。该木马在被安装后,会自我进行删除,然后向后台发送创建的电子邮件凭据,并从新启动、下载和履行由C2办事器供给的二进制文件。

今朝Talos发清楚明了三个C2办事器:

hxxp://criadoruol[.]site/

hxxp://jdm-tuning[.]ru/

hxxp://www[.]500csgo[.]ru/

截止发稿前,钻研职员统共在这三个办事器上发清楚明了700多个被入侵的系统,它们都是进击者创建的僵尸收集系统。最早的一次应用僵尸收集系统的光阴是10月23日,它应用上述技巧在BOL Online办事上创建了4000多封自力的电子邮件。此中一些电子邮件便是用来实施进击的,这也是钻研职员本次所捕获的垃圾邮件活动。

斟酌到文件名的命名规则、受害者行径以及上述两种进击活动的特定目标,Talos团队发明它们与曩昔发明的一种启动S3 Bucket的电子邮件天生对象异常类似。这意味着,它们之间有着很大年夜的联系,进击者试图应用不合的发送要领和电子邮件来发送他的垃圾邮件。

传播的有效载荷

钻研职员发清楚明了进击者在这些活动中支配的两种不合的有效载荷,是使用Delphi(Windows平台下闻名的快速利用法度榜样开拓对象)开拓的,是针对巴西银行的银行木马。

安然公司FireEye已经对第一个有效载荷做了具体阐明,详情请点此。它会获取有关受进击的系统的信息,并将数据发送回C2办事器。它还包括一个键盘记录器,它与我们在本文中描述的键盘记录器完全相同。当用户登录到银行的网站时,恶意软件就开始启动,跳出一个捏造的银行弹出窗口与他们进行交互,以下是试图偷取用户CVV的示例。

而第二个有效载荷虽然具有和第一个有效载荷完全相同的功能,但实现要领却不合。它主要经由过程向用户弹出捏造的银行窗口,来绕过双身分认证。

然后,键盘记录器将检索目标输入的信息。以下是正在遭受这一恶意软件进击的金融办事组的名单:

桑坦德银行、伊塔乌银行、巴西银行、Caixa银行、Sicredi银行、布拉德斯科银行、Safra银行、Sicoob银行、亚马逊银行、Nordeste银行、Banestes银行、Banrisul银行、Banco de Brasilia和花旗银行。

总结

这种恶意软件在世界各地都很盛行,这进一步证清楚明了银行木马仍旧很盛行。使用这个样本,进击者瞄准了特定的巴西银行机构。这可能注解进击者来自南美,在那里,他们可以更轻易的使用得到的细节和凭据进行不法金融活动。我们将继承监控全部要挟领域的金融犯罪活动。这并不是一个繁杂的木马,进击者可以很轻易经由过程滥用垃圾邮件发送他们的恶意有效载荷,从而达到偷取用户的目的。这个进击活动还显示了进击者为了获取更多的邮件次数,而无限对文件进行重命名,他们经由过程创建了一个自动天生机制来为更多的垃圾邮件进击创建新邮件。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包