Tetrade:巴西銀行業惡意軟件走向全球
介紹
巴西是一個著名的國家,有許多由當地騙子開發的銀行木馬。巴西地下犯罪分子是世界上一些最繁忙和最具創造力的網絡犯罪肇事者的家園。他們的網絡攻擊具有很強的本地特色,而且很長一段時間以來,他們的攻擊僅限于本地銀行的客戶。但是現在是時候,他們積極地將攻擊和行動擴大到國外,針對其他國家和銀行。該Tetrade是我們的創造、開發和巴西騙子傳播,但現在在全球范圍內四個大型銀行木馬家族稱號。
他們在2011年嘗試使用成功率非常低的基礎木馬病毒,現在情況完全不同了。巴西的銀行木馬已經有了很大的發展,黑客采用了繞過檢測的技術,創建了高度模塊化和模糊不清的惡意軟件,并使用了非常復雜的執行流程,這使分析過程變得痛苦而棘手。
至少從2000年開始,巴西的銀行就在充滿欺詐的非常惡劣的在線環境中運作。盡管他們早期采用了旨在保護客戶的技術,并部署了插件,tokens,電子令牌,兩因素身份驗證,CHIP和PIN信用卡以及其他保護其數百萬客戶的方法,但欺詐行為仍在不斷蔓延,因為該國仍缺乏適當的立法來懲治網絡犯罪分子。
本文旨在深入了解這四個銀行木馬家族:Guildma,Javali,Melcoz和Grandoreiro,它們在向海外擴展時不僅針對巴西,而且針對更廣泛的拉丁美洲和歐洲的用戶。
這些騙子準備走向世界,金融系統和安全分析師是否準備好應對這種持續的雪崩?
公會:絕招
| 別名 | Astaroth |
|---|---|
| 首次出現 | 2015年 |
| 技巧 | LOLBin和NTFS備用數據流(ADS),處理挖空,YouTube和Facebook帖子中payloads hosted |
| 竊取數據的受害者 | 智利,烏拉圭,秘魯,厄瓜多爾,哥倫比亞,中國,歐洲 |
惡意軟件Guildma至少從2015年就開始活躍,當時它專門針對巴西的銀行用戶。從那以后,它不斷更新、增加新的目標、新的功能和隱蔽性,并將其攻擊指向拉丁美洲的其他國家。這些攻擊背后的團隊對執行復雜執行流程的合法工具非常了解,他們假裝隱藏在主機系統中,防止自動分析系統跟蹤他們的活動。
最近,發現了一個較新的版本,濫用NTFS備用數據流(ADS)來存儲執行期間下載的惡意有效內容。該惡意軟件是高度模塊化的,具有非常復雜的執行流程。該組織使用的主要媒介是將壓縮格式的惡意文件發送到電子郵件中。文件類型從VBS到LNK不等;最近的活動開始附加HTML文件,該文件執行Java腳本以下載惡意文件。
除了使用進 process hollowing,非現場二進制文件(LOLBin)和NTFS備用數據流來存儲來自云托管服務的下載的payload,該惡意軟件還依賴于反調試,反虛擬化和反仿真技巧。例如CloudFlare的Workers,Amazon AWS以及流行的網站(例如YouTube和Facebook),它們在其中存儲 C2 信息。
從LNK到完整的銀行后門
Guildma的傳播很大程度上依賴于包含壓縮格式的惡意文件的電子郵件鏡頭,并附在電子郵件正文上。文件類型從Visual Basic腳本到LNK不等。大多數網絡釣魚郵件都模仿業務請求,通過快遞服務或任何其他常規公司主題發送的包裹,包括COVID-19大流行,但始終帶有公司外觀。
購買發票的酒精凝膠:Guildma的伎倆吸引受害者
我們觀察到,在2019年11月開始,感染鏈又增加了一層。攻擊者沒有將壓縮文件直接附加到電子郵件正文,而是附加了HTML文件,該HTML文件執行用于下載文件的Javascript。
執行Javascript以下載壓縮的LNK文件
為了下載其他模塊,該惡意軟件使用了BITSAdmin工具,該小組多年來一直依靠該工具來避免檢測,因為這是Windows操作系統中的白名單工具。到2019年9月底,我們開始看到分發了新版本的Guildma惡意軟件,該惡意軟件使用一種新技術將下載的payload存儲在NTFS備用數據流中,以便隱藏它們在系統中的存在。
c:\windows\system32\cmd.exe /c type “c:\users\public\Libraries\radm\koddsuffyi.gif” > “c:\users\public\Libraries\radm\desktop.ini:koddsuffyi.gif” && erase “c:\users\public\Libraries\radm\koddsuffyi.gif”下載 payload 存儲在desktop.ini的ADS中
使用ADS有助于隱藏系統中的文件,因為它不會出現在資源管理器等中。要查看備用數據,可以使用“ DIR”命令,并添加開關“ / R”,專門用于顯示備用數據流。
存儲在desktop.ini的ADS數據中的payload
隱藏附加模塊后,惡意軟件將通過DLL搜索順序劫持啟動。我們觀察到Guildma在此步驟中使用的各種進程;在此版本的惡意軟件中,它使用與Internet Explorer相關的ExtExport.exe。將加載的庫是先前下載的兩個文件(< Random>64a.dll和< Random>64b.dll)連接的結果,正如我們在上圖中看到的那樣。生成的文件將使用ExtExport在其執行時加載的不同已知庫進行命名。加載后,它將連接另外三個文件并加載它們。
加載程序使用的一些反調試/反仿真技術
此階段檢查調試工具、虛擬環境、沙箱通常使用的已知Windows產品ID、通用用戶名和某些磁盤序列號,它們最有可能與之前檢測到的分析師環境相關聯。如果沒有檢測到類似的情況,惡意軟件將解密第三階段,并通過惡意軟件常用的 process hollowing 技術來執行它。在此版本中,使用與以前版本中使用的基于XOR的算法相同的算法對payload進行加密,但是在此最新版本中,使用不同的密鑰對payload進行了兩次加密。
文件內容使用不同的密鑰加密兩次
為了執行其他模塊,惡意軟件使用process hollowing 技術將惡意負載隱藏在列入白名單的進程(例如svchost.exe)中。payloads 在執行時會加密存儲在文件系統中,并在內存中解密。
安裝在系統中的最終payloads將監視用戶活動,例如打開的網站和運行應用程序,并檢查它們是否在目標列表中。當檢測到目標時,將執行該模塊,使犯罪分子可以控制銀行交易。
該模塊允許罪犯執行某些非常特定的銀行業務,例如:
- 通過使用類似VNC的系統完全控制頁面導航,
- 切換屏幕覆蓋,
- 請求短信令牌,
- QR碼驗證
- 請求交易
攻擊者實質上可以使用受害者的計算機執行任何金融交易,同時避免使用可以檢測可疑機器發起的銀行交易的反欺詐系統。
YouTube和Facebook C2s
完成所有加載步驟后,惡意軟件將在受感染的系統中運行。它將監視系統,與C2服務器通信并按要求加載其他模塊。在最新版本中,它開始以加密格式在YouTube和Facebook頁面上存儲C2信息。
YouTube頁面上托管的C2信息
2020年發現的較新版本的Guildma正在使用自動化過程來生成數千個每日URL,其中大部分都在濫用通用TLD。我們的系統每天捕獲200多個不同的URL,例如:
| 01autogestor.ga | ghcco980m1zy9.org |
|---|---|
| 04autogestor.ml | gurulea8.ml |
| 0ff2mft71jarf.gq | k8cf0j5u.cf |
| 2va6v.6pnc3461.ink | kaligodfrey.casa |
| 4nk7h3s453b019.com.de | kfgkqnf5.cf |
| 64pgrpyxpueoj.ga | nfiru.xyz |
| 6pnc3461.ink | osieofcorizo??n.fun |
| 6zs1njbw.ml | paiuew.norp.ml |
| 7wpinibw.ml | peolplefortalce.gq |
| 84m4bl423.space | topgear.cf |
| 909nu3dx3rgk13.com.de | venumxmasz.club |
| bantqr8rrm9c11.com.de | vuryza.ga |
| evokgtis.gq | xufa8hy15.online |
| g2ha14u2m2xe12.com.de | xvbe.monster |
Guildma的一些URL,用于下載惡意軟件
我們的遙測表明對Guildma的檢測非常普遍。
公會:遍布全球
公會:遍布全球
可以在代碼中看到Guildma的預期目標:該惡意軟件能夠竊取居住在智利,烏拉圭,秘魯,厄瓜多爾,哥倫比亞,中國,歐洲,當然還有巴西的銀行客戶的數據。但是,該代碼僅在Guildma的一個版本中找到,并且尚未在任何較新的版本中實現。
根據Guildma的代碼:可能的目標國家
Javali
| 首次 | 2017年 |
|---|---|
| 技巧 | 大文件可避免檢測,DLL側載,Google Docs中托管的配置設置 |
| 已確認的受害者 | 巴西和墨西哥 |
Javali針對于講葡萄牙語和西班牙語的國家/地區,該國家/地區自2017年11月起開始運作,主要專注于位于巴西和墨西哥的金融機構的客戶。Javali使用多階段惡意軟件,并通過網絡釣魚電子郵件將其初始有效負載分發為網站的附件或鏈接。這些電子郵件包括一個帶有嵌入式Visual Basic腳本的MSI(Microsoft安裝程序)文件,該文件可從遠程C2下載最終的惡意負載。它還使用DLL側載和多層混淆處理,以向分析人員和安全解決方案隱藏其惡意活動。
初始的Microsoft Installer下載器包含一個嵌入式自定義操作,該操作將觸發Visual Basic腳本。該腳本連接到遠程服務器并檢索惡意軟件的第二階段。
使用MSI的“ CustomAction”事件觸發下載器VBS的執行
下載的ZIP文件包包含幾個文件和一個惡意 payload,該payload 能夠從受害者那里竊取財務信息。解壓縮的程序包通常包含大量文件,包括合法但易受DLL側面加載影響的可執行文件。
典型的Javali .ZIP軟件包的內容,包括602 MB的DLL文件
在這種情況下將使用的合法DLL的大小約為600 KB,但是這里我們有一個超過**600 MB**的模糊庫。文件較大是為了阻止分析和檢測。除此之外,文件大小的限制將阻止上載到VirusTotal等多功能掃描儀。一旦從庫中刪除了所有空白部分,最終有效載荷就是27.5 MB的二進制文件。
對所有內容進行模糊處理后,我們可以看到惡意軟件所針對的URL和銀行名稱。
混淆之后的Javali:尋找墨西哥銀行客戶
GDocs for惡意軟件
一旦庫被其代碼中實現的觸發事件之一調用,它將從共享的Google Document中讀取配置文件。如果無法連接到該地址,則使用硬編碼的地址。
配置設置存儲在共享的Google文檔中
原始配置:
inicio {“主機”:“ 7FF87EF610080973F065CAB4B5B0AA”,“門”:“ 0000”} fim 主機信息被混淆的原因很明顯。Javali采用了一個名為IndyProject的第三方庫來與C2進行通信。在最新的廣告系列中,其運營商也像Guildma一樣開始使用YouTube托管C2信息。
通過對庫代碼的深入分析,我們可以在一些示例中看到目標列表。根據所分析的樣本,還以Bittrex等加密貨幣網站或拉丁美洲非常受歡迎的零售商Mercado Pago等支付解決方案為目標。為了從之前列出的所有網站中捕獲登錄憑據,Javali會監視進程以查找打開的瀏覽器或自定義銀行應用程序。受監控的最常見的Web瀏覽器是Mozilla Firefox,Google Chrome,Internet Explorer和Microsoft Edge。
受害者分布主要集中在巴西,盡管最近的網絡釣魚電子郵件顯示出對墨西哥的濃厚興趣。
Javali:專注于巴西和墨西哥
Javali正在使用列入白名單并簽名的二進制文件,Microsoft Installer文件和DLL劫持來大規模感染受害者,同時針對各個國家/地區努力。這是通過控制分發方式并將網絡釣魚電子郵件僅發送給該小組感興趣的那些TLD來實現的。我們可以預期主要在拉丁美洲范圍內進行擴展。
梅爾科茲,全球運營商
| 首次 | 2018年(全球),但活躍于巴西多年 |
|---|---|
| 技巧 | DLL劫持,AutoIt加載程序,比特幣錢包竊取模塊 |
| 已確認的受害者 | 巴西,智利,墨西哥,西班牙,葡萄牙 |
Melcoz 是一個銀行木馬家族,由一個在巴西活躍多年的組織開發,但至少自2018年以來已擴展到海外。他們的東歐伙伴極大地鼓舞了最近的襲擊。這些新操作經過專業執行,可伸縮且具有持久性,創建了各種版本的惡意軟件,同時對基礎設施進行了重大改進,使不同國家的網絡犯罪集團可以進行協作。
我們發現,該組織自2018年以來一直襲擊智利的資產,最近又襲擊了墨西哥的資產。不過,由于一些目標銀行在國際上經營業務,因此在其他國家還是很有可能存在受害者。但是,最近這些攻擊似乎更多地集中在拉丁美洲的受害者身上。由于這些組織使用不同的語言(葡萄牙語和西班牙語),因此我們相信巴西的網絡犯罪分子正在與當地的編碼人員合作,以取回由不同運營商管理的贓款,出售其基礎設施和惡意軟件構造者的訪問權限。每個活動以唯一ID運行,該ID在所使用的版本和CnC之間有所不同。
通常,惡意軟件使用添加到MSI文件中的AutoIt或VBS腳本,這些腳本使用DLL-Hijack技術運行惡意DLL,旨在繞過安全解決方案。該惡意軟件從瀏覽器和內存中竊取密碼,從而提供遠程訪問以捕獲在線銀行訪問。它還包括一個用于竊取比特幣錢包的模塊。它用網絡罪犯自己的信息代替了原始的錢包信息。
遠程訪問PC的子版本
Melcoz 是著名的開源RAT遠程訪問PC的另一種定制,可在GitHub上獲得,以及巴西罪犯開發的許多其他版本。它最初開始瞄準巴西的用戶,但至少從2018年開始,該組織就對智利和墨西哥等其他國家表現出了興趣。此攻擊中使用的感染媒介是網絡釣魚電子郵件,其中包含指向可下載的MSI安裝程序的鏈接,如下所示。
用西班牙語編寫的網絡釣魚電子郵件
幾乎所有經過分析的MSI樣本都使用了某個版本的Advanced Installer,并且在CustomAction部分中附加了VBS腳本,這使該腳本在安裝過程中運行。該腳本本身可作為將惡意軟件加載到系統所需的其他文件的下載器,這些文件作為ZIP包單獨托管。我們確認了用于分發Melcoz后門的兩種不同技術:AutoIt加載程序腳本和DLL Hijack。
官方的AutoIt3解釋器是AutoIt安裝軟件包的一部分,惡意軟件使用它來執行編譯的腳本。VBS腳本運行AutoIt解釋器,將編譯后的腳本作為參數傳遞。一旦執行,它將加載該庫,該庫也作為參數傳遞來調用硬編碼的導出函數。
AutoIt腳本充當惡意DLL的加載器
在受害者系統中執行第二階段的另一種方法是DLL劫持。在此活動中,我們看到了合法的VMware NAT服務可執行文件vmnat.exe被濫用來加載惡意有效負載,盡管該組可以在攻擊中使用許多合法的可執行文件。
該惡意軟件具有特定的功能,可讓攻擊者執行與在線銀行交易,密碼竊取和剪貼板監視有關的操作。我們還發現了不同版本的有效負載:通常將用于從巴西受害者中竊取數據的版本解壓縮,而將針對智利和墨西哥銀行的版本打包為VMProtect或Themida。對我們來說,這是另一個標志,運營商可以根據當地需求改變其戰術。
初始化之后,代碼將監視瀏覽器的活動,以查找在線銀行會話。一旦找到這些,惡意軟件就使攻擊者能夠在受害者瀏覽器的前面顯示一個覆蓋窗口,以在后臺操縱用戶的會話。這樣,欺詐交易是從受害者的機器執行的,這使得在銀行端更難檢測到反欺詐解決方案。犯罪分子還可以繞過金融部門采用的兩因素身份驗證解決方案,請求在銀行交易期間詢問的特定信息,例如輔助密碼和令牌。
該代碼還具有一個計時器,用于監視保存到剪貼板的內容。觸發匹配后,惡意軟件會檢查是否存在比特幣錢包,然后將其替換為網絡犯罪分子的錢包。
攻擊者依賴于受到破壞的合法服務器以及他們購買的商業服務器。受感染的服務器主要托管用于攻擊受害者的樣本,而商業托管則用于C2服務器通信。如前所述,不同的運營商會投放不同的廣告系列。這解釋了到目前為止所看到的不同的網絡基礎結構。
根據我們的遙測,在其他拉丁美洲國家和歐洲(主要在西班牙和葡萄牙)檢測到了Melcoz樣品。
Melcoz 在全球范圍內的偵查:集中在巴西,智利,西班牙和葡萄牙
El Gran Grandoreiro
| 首次 | 2016年 |
|---|---|
| 技巧 | Google站點中存儲的MaaS,DGA,C2信息 |
| 已確認的受害者 | 巴西,墨西哥,葡萄牙,西班牙 |
與Melcoz和Javali一樣,Grandoreiro也開始在拉丁美洲和后來的歐洲擴展攻擊,并取得了巨大成功,并致力于使用模塊化安裝程序來逃避檢測。在我們描述的四個家族中,Grandoreiro是全球分布最廣的家族。該惡意軟件使攻擊者可以通過使用受害者的計算機繞過銀行機構使用的安全措施來執行欺詐性銀行交易。
至少從2016年開始,我們就觀察到了這場運動,攻擊者會定期改進其技術,以期保持不受監視和活動的時間更長。該惡意軟件使用特定的域生成算法(DGA)來隱藏攻擊期間使用的C2地址:這是有助于戰役群集的關鍵點之一。
盡管很明顯該活動基于分析期間收集到的信息顯示許多運營商正在使用MaaS(惡意軟件即服務)業務模型,但仍無法將該惡意軟件鏈接到任何特定的網絡犯罪組。參與。
在跟蹤針對拉丁美洲的網絡犯罪活動時,我們發現了一種有趣的攻擊,該攻擊與已知的巴西銀行惡意軟件非常相似,但具有與感染媒介和代碼本身有關的獨特功能。可以識別出兩類攻擊,第一個攻擊針對巴西銀行,第二個攻擊針對拉丁美洲和歐洲的其他銀行。這是可以預料的:許多歐洲銀行在拉丁美洲都有分支機構,因此對于網絡犯罪分子而言,這自然是下一步。
針對巴西的集群使用被黑的網站和Google Ads來驅動用戶下載惡意安裝程序。針對其他國家使用魚叉式網絡釣魚作為傳遞方法。
偽造頁面驅動用戶下載惡意有效載荷
在大多數情況下,MSI文件從嵌入式DLL中執行功能,但是在其他情況下,也可以使用VBS腳本代替DLL。
MSI包含從DLL執行特定功能的動作
然后,該功能將下載包含活動中使用的最終有效負載的加密文件。使用基于自定義XOR的算法(密鑰為0x0AE2)對文件進行加密。在最新版本中,作者從加密轉為使用base64編碼的ZIP文件。
主模塊負責監視所有瀏覽器活動,查找與在線銀行相關的任何操作。在分析競選活動時,我們確定了兩類活動:第一個活動主要針對巴西目標,第二個活動更多針對國際目標。
該代碼表明該活動由各種運營商進行管理。該示例構建指定了一個操作員ID,該ID將用于選擇要聯系的C2服務器。
用于根據操作員ID生成URL的代碼
上面的代碼將計算到Google站點頁面的路徑,該頁面包含有關惡意軟件將使用的C2服務器的信息。該算法使用特定于用戶的密鑰以及當前日期,這意味著URL將每天更改。
| ID | 操作員 | 鍵 | 日期 | 生成路徑 |
|---|---|---|---|---|
| 01 | Zemad | jkABCDEefghiHIa4567JKLMN3UVWpqrst2Z89PQRSTbuvwxyzXYFG01cdOlmno | 3月0日 | zemadhjui3nfz |
| 02 | rici | jkABCDEefghFG01cdOlmnopqrst2Z89PQRiHIa4567JKLMN3UVWXYSTbuvwxyz | 3月0日 | ricigms0rqfu |
| 03 | breza | 01cdOlmnopqrst2Z89PQRSTbuvwxjkABCDEefghiHIa4567JKLMN3UVWXYFGyz | 3月0日 | Brezasqvtubok |
| 04 | grl2 | mDEefghiHIa4567JKLMNnopqrst2Z89PQRSTbuv01cdOlwxjkABC3UVWXYFGyz | 3月0日 | grl25ns6rqhk |
| 05 | 約2 | 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz | 3月0日 | rox2rpfseenk |
| 06 | mrb | 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz | 3月0日 | mrbrpfseenk |
| 07 | ER | jkABCDEefghiHIa4567JKLMN3UVWXYFG01cdOlmnopqrst2Z89PQRSTbuvwxyz | 3月0日 | erhjui3nf8 |
然后將聯系生成的路徑,以獲取有關要用于執行的C2服務器的信息。
存儲在Google協作平臺中的C2信息
操作員使用自定義工具控制受感染的計算機。該工具將在受害者有空時通知操作員,并使操作員能夠在機器上執行許多活動,例如:
- 請求銀行交易所需的信息,例如SMS令牌或QR碼;
- 允許完全遠程訪問機器;
- 阻止訪問銀行網站:此功能有助于防止受害者得知資金是從其帳戶中轉出的。
DGA和Google網站
該活動使用商業托管站點進行攻擊。在許多情況下,他們使用名為HFS或HTTP文件服務器的非常特定的Web服務器來托管加密的有效負載。您可以在顯示的頁面上注意到一個小的變化,該變化有助于顯示“感染”而不是默認頁面上使用的“命中”。
HFS用于托管加密的有效負載
這些托管站點是一次性的。在操作員轉移到另一臺服務器之前,每種服務器都使用了很短的時間。我們已經看到Grandoreiro使用DGA函數來生成到存儲C2信息的Google站點頁面的連接。
至于受害者,可以通過分析樣本確認該活動針對巴西,墨西哥,西班牙和葡萄牙。但是,由于目標機構也在其他國家開展業務,其他國家也很有可能成為受害者。
Grandoreiro:專注于巴西,葡萄牙和西班牙
結論
Guildma,Javali,Melcoz和Grandoreiro就是另一個巴西銀行集團/業務的例子,該集團已決定將其攻擊擴大到國外,目標是其他國家的銀行。他們得益于許多在巴西運營的銀行在拉丁美洲和歐洲其他地方也有運營的事實,這使得對這些金融機構客戶的攻擊更加容易進行。
巴西騙子正在迅速創建會員生態系統,招募網絡犯罪分子與其他國家合作,采用MaaS(惡意軟件即服務),并迅速向其惡意軟件中添加新技術,以使其保持相關性并在財務上對其吸引力具有吸引力。伙伴。他們無疑在拉丁美洲引發了這種類型的威脅,這主要是因為他們需要本地合作伙伴來管理贓款并協助翻譯,因為它們中的大多數不是西班牙人。這種專業的方法從ZeuS,SpyEye和其他過去的大型銀行木馬中獲得了很多啟發。
作為威脅,這些銀行木馬家族試圖通過使用DGA,加密的有效載荷,進程空化,DLL劫持,大量LoLBins,無文件感染和其他技巧來進行創新,以阻止分析和檢測。我們認為,這些威脅將演變為針對更多國家的更多銀行。我們知道,他們并不是唯一這樣做的人,因為來自相同競爭對手的其他家族已經進行了類似的過渡,這可能是受其“競爭對手”成功的啟發。在巴西惡意軟件開發人員中,這似乎是一個趨勢,而且這種趨勢將持續下去。
