警惕 | 針對銀行的 maxtrilha 木馬正在傳播
犯罪分子不斷創建流行的銀行木馬變種,牢記相同的 作案手法, 但改變了惡意軟件的內部結構及其功能,使其成為完全無法檢測 (FUD) 的武器。
概述
最近的運動已在拉丁美洲傳播,但也擴展到歐洲和葡萄牙。該活動已被巴西犯罪分子的脈石利用,他們使用定制的網絡釣魚模板根據目標國家傳播木馬 maxtrilha。
在葡萄牙傳播的惡意軟件樣本會打開 Autoridade Tributária e Aduaneira – Finan?as 的合法網頁,以在第一階段執行期間引誘受害者。之后,惡意軟件會創建持久性, 禁用 Internet Explorer 安全設置, 以方便從 Internet 下載第二階段。簡而言之,第二階段——maxtrilha 木馬——在目標機器上執行時檢查或創建持久性,使用一種機制從打開的前景窗口中捕獲細節,使其名稱與與銀行公司相關的特定硬編碼字符串匹配,啟動銀行窗口覆蓋,可以部署新的有效載荷并與 C2 服務器實時通信。
maxtrilha 木馬是用 Delphi 語言開發的,它是一個 x64 二進制文件,它可以繞過 AV 和 EDR 系統——至少在分析之前是這樣。
圖 1: maxtrilha 銀行木馬的高級圖。
主要發現
- Maxtrilha 已通過精心制作的網絡釣魚模板按國家/地區進行傳播。
- maxtrilha 第一階段——加載程序——打開之前在網絡釣魚模板上提供的合法服務,以在執行過程中引誘受害者。
- 第一階段在受感染的機器上創建持久性,禁用 Internet Explorer 安全設置和接受的擴展,以促進第二階段的下載。
- Maxtrilha 木馬——第二階段——在機器上檢查或創建持久性,安裝或修改 Windows 可信證書,通過打開窗口進行檢查以執行銀行窗口覆蓋以竊取憑據,并可以部署通過 DLL 注入技術執行的其他有效負載。
- 受害者的數據被加密并發送到位于俄羅斯的 C2 服務器。
Maxtrilha木馬深度解析
在本節中,我們將詳細介紹 maxtrilha 惡意軟件,逐步分析該銀行木馬、它的運行方式以及泄露的數據類型。圖 2 顯示了在葡萄牙傳播的網絡釣魚模板,該模板冒充 Autoridade Tributária e Aduaneira – Finan?as 以引誘受害者下載 maxtrilha 第一階段(加載程序)。
圖 2: Maxtrilha 網絡釣魚模板在葡萄牙傳播并冒充稅務和海關當局 – 財務 | h/t @MiguelSantarene
如下所示, “cld.]pt” 域已被用于在 2021 年舉辦多個惡意活動,包括 maxtrilha 惡意軟件浪潮。完整列表可以在分析的最后找到。
圖 3: 2021 年用于在野外傳播活動的惡意 .PT 域,包括 maxtrilha 惡意軟件浪潮。
Maxtrilha裝載機——第一階段
文件名: PdF.exe / MSITrueColor.exe
MD5: a6f3e35760bc2848cd258b786c1fd247
創建日期: 2021-09-06 09:20:49
這個銀行木馬的第一個警報是在0xSI_f33d上觸發的 。 maxtrilha 加載器是犯罪分子根據目標國家定制的,它預先執行一些任務,即:
- 在執行期間通過硬編碼的短 URL 打開目標合法頁面
- 在目標機器上創建持久性
- 禁用 IE 安全設??置;和
- 下載 maxtrilha 第二階段。
如圖 4 所示,最近幾天在野外分發了幾個樣本,冒充不同國家/地區的不同組織。
圖 4: Maxtrilha 樣本于 2021 年 8 月和 9 月傳播。
如前所述,特定的短 URL 被硬編碼在每個加載程序中,具體取決于目標國家/地區。在葡萄牙傳播的 maxtrilha 加載程序的情況下,它使用 TinyURL 在線服務,該服務在惡意軟件執行期間由受害者計算機上安裝并可用的默認 Web 瀏覽器打開。短 URL 指向與網絡釣魚模板相關的特定頁面(參見圖 2)以引誘受害者。
圖 5: 通過默認 Web 瀏覽器打開一個短 URL,將受害者重定向到合法服務。
在另一個同樣在葡萄牙傳播的樣本中,我們發現了一個不同的硬編碼字符串,而不是短 URL。該特定域緩存在 Google 上,并將受害者重定向到身份驗證頁面。有了這個技巧,犯罪分子就可以繞過一些安全代理。
圖 6: 在葡萄牙傳播的 maxtrilha 樣本中發現的特定硬編碼 URL。
具體而言,我們發現了一些樣本分布在葡萄牙、西班牙和墨西哥,如下所示。
圖 7: 在葡萄牙、西班牙和墨西哥執行 maxtrilha 期間用于引誘受害者的合法門戶。
運行可執行文件后,它會打開目標頁面以引誘受害者,同時創建持久性、禁用 IE 安全設??置,并將第二階段下載到 %Public% 文件夾中。
如前所述,誘餌頁面是基于每個二進制文件中硬編碼的 TinyURL 短 URL 來打開的。
圖 8: 惡意軟件執行期間打開的合法頁面(葡萄牙語樣本)。
顯示認證頁面后,木馬在后臺執行特定任務。第一步是修改軟件策略設置,即 Windows 受信任證書稍后充當代理。二進制文件,第一階段和第二階段都在運行時執行此操作:“PdF.exe”(訪問類型:“CREATE”;路徑:“SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\CA”)“PdF.exe”(訪問類型:“CREATE”;路徑:“SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED”)“PdF.exe”(訪問類型:“CREATE”;路徑:“SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\TRUST”)”PdF。 exe”(訪問類型:“CREATE”;路徑:“SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPEOPLE”)“PdF.exe”(訪問類型:“CREATE”;路徑:“SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\ROOT” )”MSITrueColor.exe”(訪問類型:“CREATE”;路徑:“創建”; 路徑:“軟件\策略\微軟\系統證書\信任”)“創建”; 路徑:“軟件\策略\微軟\系統證書\信任”)
接下來, Internet Explorer 安全設置 也進行了更改,以方便第二階段的下載,不受任何限制:查詢敏感的 IE 安全設??置:“iexplore.exe”(路徑:“HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SECURITY”; Key :“DISABLESECURITYSETTINGSCHECK”)” IEXPLORE.EXE”(路徑:‘HKCU \ SOFTWARE \ MICROSOFT \ Internet Explorer \安全’;鍵:‘DISABLESECURITYSETTINGSCHECK’)查詢的顯示設置的系統相關聯的文件擴展名:” IEXPLORE.EXE”(訪問類型:“QUERYVAL”;路徑:“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\.EXE”;鍵:“NEVERSHOWEXT”)“iexplore.exe”(訪問類型:“QUERYVAL”;路徑:“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\ .EXE”;鍵:“ALWAYSSHOWEXT”)
loader 具有選擇下載目標文件名的能力;這些名稱被硬編碼在一個包含知名音樂歌曲的列表中,如下面的圖 9 所示。最后,第二階段是從“ sageprototypego.]pt/sept/cult.mp4 ”域路徑下載到 %Public% 文件夾,并將二進制路徑添加到 Windows 注冊表中。
圖 9: 基于目標硬編碼字符串從 Internet 下載的 Maxtrilha 2nd stage。
圖 10: 每次從 Windows %Public% 文件夾啟動 Maxtrilha 2nd stage 。
Maxtrilha 活動 – 一個可能的終止開關
作為通過此活動防止進一步感染的一種方式,下載第二階段的域已停用,當加載程序嘗試卸載二進制文件時,它將進入錯誤循環,因為它無法找到并注入新的二進制文件進入內存(sageprototypego.]pt)。
圖 11: maxtrilha 木馬可能的終止開關(第一階段 - 加載程序)。
Maxtrilha 木馬銀行家 – 最后階段
文件名: Telegram.exe / MSITrueColor.exe /cult.mp4 / roddy_ricch.mp3
MD5: ea30c0dc58f71a1720990021fda92d1e
創建日期: 2021-09-06 09:06:20
犯罪分子不斷創造新的方法來制造他們的惡意 FUD。在這種情況下,在 VirusTotal 上未檢測到 maxtrilha 木馬(x64 Delphi 二進制文件)為惡意程序,從而可以在此活動期間感染世界各地的大量計算機。
圖 12: Maxtrilha 木馬 100% FUD,繞過,因此是 AV 和 EDR 系統的一部分。
執行二進制文件時,它會執行一些任務,包括:
- 使用 invertexto.]com 在線服務檢查互聯網連接并獲取受害者的 IP 地址及其地理位置。然后,它根據受害者的 IP 地址在服務的 C2 上動態創建 PHP 文件。
- 在 Windows 注冊表中檢查或創建持久性。
- 通過以二進制文件中硬編碼的銀行門戶為目標,對用戶導航結果進行監控。
- 從 C2 服務器檢索命令并發送收集的數據。
- 它還可以部署通過 DLL 注入技術執行的額外負載。
圖 13: Maxtrilha 通過 Internet 連接檢查并將二進制路徑添加到 Windows 注冊表(持久性技術)。
有趣的是,invertexto.]com 服務正被 maxtrilha 木馬創建者用來獲取受害者的 IP 地址,同時通過 Internet 連接進行檢查。 在 VirusTotal 屏幕上,我們可以看到最近幾天與此地址通信的 maxtrilha 樣本。
圖 14: Maxtrilha 樣本與合法服務通信以驗證互聯網連接并獲取受害者的 IP 地址。
在惡意軟件活動期間,該二進制文件處于線程循環中,監控 Internet 瀏覽器窗口,并將打開的頁面與硬編碼字符串匹配,即與拉丁美洲和歐洲(包括葡萄牙)銀行相關的子字符串。
圖 15: 受 maxtrilha 木馬影響的目標銀行。
當字符串匹配時,惡意軟件會與位于俄羅斯的 C2 服務器通信以執行以下操作:
- 它發送與機器(主機名)和 IP 地址相關的初始數據。
- C2 服務器從index.php 頁面接收此信息 ,并創建一些允許通信的 PHP 頁面(每個受害者都有基于其 IP 地址的特定頁面)
有了這個技巧,犯罪分子就可以使線程更加隱蔽,因為每個受害者的特定頁面都托管在相同的 IP 地址上。
具體來說,一些配置也是從“webcindario.]com”子域中獲得的,在分析時不可用。
圖 16: 從webcindario.com 子域中檢索到的其他配置 。
下圖顯示了木馬通過“ GetWindowsTextW() ”調用獲取窗口名稱的那一刻,以及與完全加密的字符串進行 C2 通信的開始。
圖 17: Maxtrilha C2 通信。
具體來說,木馬每次向C2服務器發送信息時,都會使用“ maxtrilha123 ”密鑰對二進制操作中的明文字符串進行加密。
圖 18: maxtrilha 使用的加密算法的偽代碼。
在另一個運行二進制文件的嘗試中,我們可以看到發送了一個類似的字符串;由于發送請求的時間戳而不同。第一個服務器請求然后根據受害者的 IP 地址在服務器端創建 PHP 頁面。
額外的數據被發送到與受害者正在瀏覽的頁面相關的 C2 服務器。
圖 19: Maxtrilha 木馬在 C2 服務器上創建受害者的 PHP 頁面以執行進一步通信。
Maxtrilha 使用 API 散列并引入眾所周知的調用來執行 DLL 注入。然后,該技術用于在惡意軟件執行期間部署額外的有效負載。
一世
圖 20: 在二進制文件上發現的 API 散列調用和 DLL 注入技術可能會根據下面列出的特定操作在運行時執行額外的負載。– opcao = 1 — opcao = 2 — opcao = 3 — opcao = 4 — opcao = 5 —
惡意軟件還會將用戶打開的前臺窗口的名稱發送到 C2 服務器。在這種情況下,例如,如果其中一些窗口位于黑名單(x64db、IDA 等)中,則木馬可能會終止其執行。
如下所示,在 maxtrilha 二進制文件中硬編碼的兩個 C2 服務器位于俄羅斯。
圖 21: 位于俄羅斯的 Maxtrilha C2 服務器。
最后的想法
如今,我們正面臨著高速增長的巴西木馬。它們中的每一個都有其特殊性、TTP 等。考慮到這一點,犯罪分子實現了 FUD 條件,使他們能夠避免檢測并影響世界各地的大量用戶。
從這個意義上說,監測這些類型的 IoC 現在是一個關鍵點,因為預計在未來幾周或幾個月內可能會出現新的感染或浪潮。
妥協指標 (IoC) 和 Miter Att&ck 矩陣可在原始帖子 @ https://segranca-informatica.pt/the-new-maxtrilha-trojan-is-being-disseminated-and-targeting-several-banks/# .YT7gro4zY2x
