Tetrade:巴西银行业恶意软件走向全球
介绍
巴西是一个著名的国家,有许多由当地骗子开发的银行木马。巴西地下犯罪分子是世界上一些最繁忙和最具创造力的网络犯罪肇事者的家园。他们的网络攻击具有很强的本地特色,而且很长一段时间以来,他们的攻击仅限于本地银行的客户。但是现在是时候,他们积极地将攻击和行动扩大到国外,针对其他国家和银行。该Tetrade是我们的创造、开发和巴西骗子传播,但现在在全球范围内四个大型银行木马家族称号。
他们在2011年尝试使用成功率非常低的基础木马病毒,现在情况完全不同了。巴西的银行木马已经有了很大的发展,黑客采用了绕过检测的技术,创建了高度模块化和模糊不清的恶意软件,并使用了非常复杂的执行流程,这使分析过程变得痛苦而棘手。
至少从2000年开始,巴西的银行就在充满欺诈的非常恶劣的在线环境中运作。尽管他们早期采用了旨在保护客户的技术,并部署了插件,tokens,电子令牌,两因素身份验证,CHIP和PIN信用卡以及其他保护其数百万客户的方法,但欺诈行为仍在不断蔓延,因为该国仍缺乏适当的立法来惩治网络犯罪分子。
本文旨在深入了解这四个银行木马家族:Guildma,Javali,Melcoz和Grandoreiro,它们在向海外扩展时不仅针对巴西,而且针对更广泛的拉丁美洲和欧洲的用户。
这些骗子准备走向世界,金融系统和安全分析师是否准备好应对这种持续的雪崩?
公会:绝招
| 别名 | Astaroth |
|---|---|
| 首次出现 | 2015年 |
| 技巧 | LOLBin和NTFS备用数据流(ADS),处理挖空,YouTube和Facebook帖子中payloads hosted |
| 窃取数据的受害者 | 智利,乌拉圭,秘鲁,厄瓜多尔,哥伦比亚,中国,欧洲 |
恶意软件Guildma至少从2015年就开始活跃,当时它专门针对巴西的银行用户。从那以后,它不断更新、增加新的目标、新的功能和隐蔽性,并将其攻击指向拉丁美洲的其他国家。这些攻击背后的团队对执行复杂执行流程的合法工具非常了解,他们假装隐藏在主机系统中,防止自动分析系统跟踪他们的活动。
最近,发现了一个较新的版本,滥用NTFS备用数据流(ADS)来存储执行期间下载的恶意有效内容。该恶意软件是高度模块化的,具有非常复杂的执行流程。该组织使用的主要媒介是将压缩格式的恶意文件发送到电子邮件中。文件类型从VBS到LNK不等;最近的活动开始附加HTML文件,该文件执行Java脚本以下载恶意文件。
除了使用进 process hollowing,非现场二进制文件(LOLBin)和NTFS备用数据流来存储来自云托管服务的下载的payload,该恶意软件还依赖于反调试,反虚拟化和反仿真技巧。例如CloudFlare的Workers,Amazon AWS以及流行的网站(例如YouTube和Facebook),它们在其中存储 C2 信息。
从LNK到完整的银行后门
Guildma的传播很大程度上依赖于包含压缩格式的恶意文件的电子邮件镜头,并附在电子邮件正文上。文件类型从Visual Basic脚本到LNK不等。大多数网络钓鱼邮件都模仿业务请求,通过快递服务或任何其他常规公司主题发送的包裹,包括COVID-19大流行,但始终带有公司外观。
购买发票的酒精凝胶:Guildma的伎俩吸引受害者
我们观察到,在2019年11月开始,感染链又增加了一层。攻击者没有将压缩文件直接附加到电子邮件正文,而是附加了HTML文件,该HTML文件执行用于下载文件的Javascript。
执行Javascript以下载压缩的LNK文件
为了下载其他模块,该恶意软件使用了BITSAdmin工具,该小组多年来一直依靠该工具来避免检测,因为这是Windows操作系统中的白名单工具。到2019年9月底,我们开始看到分发了新版本的Guildma恶意软件,该恶意软件使用一种新技术将下载的payload存储在NTFS备用数据流中,以便隐藏它们在系统中的存在。
c:\windows\system32\cmd.exe /c type “c:\users\public\Libraries\radm\koddsuffyi.gif” > “c:\users\public\Libraries\radm\desktop.ini:koddsuffyi.gif” && erase “c:\users\public\Libraries\radm\koddsuffyi.gif”下载 payload 存储在desktop.ini的ADS中
使用ADS有助于隐藏系统中的文件,因为它不会出现在资源管理器等中。要查看备用数据,可以使用“ DIR”命令,并添加开关“ / R”,专门用于显示备用数据流。
存储在desktop.ini的ADS数据中的payload
隐藏附加模块后,恶意软件将通过DLL搜索顺序劫持启动。我们观察到Guildma在此步骤中使用的各种进程;在此版本的恶意软件中,它使用与Internet Explorer相关的ExtExport.exe。将加载的库是先前下载的两个文件(< Random>64a.dll和< Random>64b.dll)连接的结果,正如我们在上图中看到的那样。生成的文件将使用ExtExport在其执行时加载的不同已知库进行命名。加载后,它将连接另外三个文件并加载它们。
加载程序使用的一些反调试/反仿真技术
此阶段检查调试工具、虚拟环境、沙箱通常使用的已知Windows产品ID、通用用户名和某些磁盘序列号,它们最有可能与之前检测到的分析师环境相关联。如果没有检测到类似的情况,恶意软件将解密第三阶段,并通过恶意软件常用的 process hollowing 技术来执行它。在此版本中,使用与以前版本中使用的基于XOR的算法相同的算法对payload进行加密,但是在此最新版本中,使用不同的密钥对payload进行了两次加密。
文件内容使用不同的密钥加密两次
为了执行其他模块,恶意软件使用process hollowing 技术将恶意负载隐藏在列入白名单的进程(例如svchost.exe)中。payloads 在执行时会加密存储在文件系统中,并在内存中解密。
安装在系统中的最终payloads将监视用户活动,例如打开的网站和运行应用程序,并检查它们是否在目标列表中。当检测到目标时,将执行该模块,使犯罪分子可以控制银行交易。
该模块允许罪犯执行某些非常特定的银行业务,例如:
- 通过使用类似VNC的系统完全控制页面导航,
- 切换屏幕覆盖,
- 请求短信令牌,
- QR码验证
- 请求交易
攻击者实质上可以使用受害者的计算机执行任何金融交易,同时避免使用可以检测可疑机器发起的银行交易的反欺诈系统。
YouTube和Facebook C2s
完成所有加载步骤后,恶意软件将在受感染的系统中运行。它将监视系统,与C2服务器通信并按要求加载其他模块。在最新版本中,它开始以加密格式在YouTube和Facebook页面上存储C2信息。
YouTube页面上托管的C2信息
2020年发现的较新版本的Guildma正在使用自动化过程来生成数千个每日URL,其中大部分都在滥用通用TLD。我们的系统每天捕获200多个不同的URL,例如:
| 01autogestor.ga | ghcco980m1zy9.org |
|---|---|
| 04autogestor.ml | gurulea8.ml |
| 0ff2mft71jarf.gq | k8cf0j5u.cf |
| 2va6v.6pnc3461.ink | kaligodfrey.casa |
| 4nk7h3s453b019.com.de | kfgkqnf5.cf |
| 64pgrpyxpueoj.ga | nfiru.xyz |
| 6pnc3461.ink | osieofcorizon.fun |
| 6zs1njbw.ml | paiuew.norp.ml |
| 7wpinibw.ml | peolplefortalce.gq |
| 84m4bl423.space | topgear.cf |
| 909nu3dx3rgk13.com.de | venumxmasz.club |
| bantqr8rrm9c11.com.de | vuryza.ga |
| evokgtis.gq | xufa8hy15.online |
| g2ha14u2m2xe12.com.de | xvbe.monster |
Guildma的一些URL,用于下载恶意软件
我们的遥测表明对Guildma的检测非常普遍。
公会:遍布全球
公会:遍布全球
可以在代码中看到Guildma的预期目标:该恶意软件能够窃取居住在智利,乌拉圭,秘鲁,厄瓜多尔,哥伦比亚,中国,欧洲,当然还有巴西的银行客户的数据。但是,该代码仅在Guildma的一个版本中找到,并且尚未在任何较新的版本中实现。
根据Guildma的代码:可能的目标国家
Javali
| 首次 | 2017年 |
|---|---|
| 技巧 | 大文件可避免检测,DLL侧载,Google Docs中托管的配置设置 |
| 已确认的受害者 | 巴西和墨西哥 |
Javali针对于讲葡萄牙语和西班牙语的国家/地区,该国家/地区自2017年11月起开始运作,主要专注于位于巴西和墨西哥的金融机构的客户。Javali使用多阶段恶意软件,并通过网络钓鱼电子邮件将其初始有效负载分发为网站的附件或链接。这些电子邮件包括一个带有嵌入式Visual Basic脚本的MSI(Microsoft安装程序)文件,该文件可从远程C2下载最终的恶意负载。它还使用DLL侧载和多层混淆处理,以向分析人员和安全解决方案隐藏其恶意活动。
初始的Microsoft Installer下载器包含一个嵌入式自定义操作,该操作将触发Visual Basic脚本。该脚本连接到远程服务器并检索恶意软件的第二阶段。
使用MSI的“ CustomAction”事件触发下载器VBS的执行
下载的ZIP文件包包含几个文件和一个恶意 payload,该payload 能够从受害者那里窃取财务信息。解压缩的程序包通常包含大量文件,包括合法但易受DLL侧面加载影响的可执行文件。
典型的Javali .ZIP软件包的内容,包括602 MB的DLL文件
在这种情况下将使用的合法DLL的大小约为600 KB,但是这里我们有一个超过**600 MB**的模糊库。文件较大是为了阻止分析和检测。除此之外,文件大小的限制将阻止上载到VirusTotal等多功能扫描仪。一旦从库中删除了所有空白部分,最终有效载荷就是27.5 MB的二进制文件。
对所有内容进行模糊处理后,我们可以看到恶意软件所针对的URL和银行名称。
混淆之后的Javali:寻找墨西哥银行客户
GDocs for恶意软件
一旦库被其代码中实现的触发事件之一调用,它将从共享的Google Document中读取配置文件。如果无法连接到该地址,则使用硬编码的地址。
配置设置存储在共享的Google文档中
原始配置:
inicio {“主机”:“ 7FF87EF610080973F065CAB4B5B0AA”,“门”:“ 0000”} fim 主机信息被混淆的原因很明显。Javali采用了一个名为IndyProject的第三方库来与C2进行通信。在最新的广告系列中,其运营商也像Guildma一样开始使用YouTube托管C2信息。
通过对库代码的深入分析,我们可以在一些示例中看到目标列表。根据所分析的样本,还以Bittrex等加密货币网站或拉丁美洲非常受欢迎的零售商Mercado Pago等支付解决方案为目标。为了从之前列出的所有网站中捕获登录凭据,Javali会监视进程以查找打开的浏览器或自定义银行应用程序。受监控的最常见的Web浏览器是Mozilla Firefox,Google Chrome,Internet Explorer和Microsoft Edge。
受害者分布主要集中在巴西,尽管最近的网络钓鱼电子邮件显示出对墨西哥的浓厚兴趣。
Javali:专注于巴西和墨西哥
Javali正在使用列入白名单并签名的二进制文件,Microsoft Installer文件和DLL劫持来大规模感染受害者,同时针对各个国家/地区努力。这是通过控制分发方式并将网络钓鱼电子邮件仅发送给该小组感兴趣的那些TLD来实现的。我们可以预期主要在拉丁美洲范围内进行扩展。
梅尔科兹,全球运营商
| 首次 | 2018年(全球),但活跃于巴西多年 |
|---|---|
| 技巧 | DLL劫持,AutoIt加载程序,比特币钱包窃取模块 |
| 已确认的受害者 | 巴西,智利,墨西哥,西班牙,葡萄牙 |
Melcoz 是一个银行木马家族,由一个在巴西活跃多年的组织开发,但至少自2018年以来已扩展到海外。他们的东欧伙伴极大地鼓舞了最近的袭击。这些新操作经过专业执行,可伸缩且具有持久性,创建了各种版本的恶意软件,同时对基础设施进行了重大改进,使不同国家的网络犯罪集团可以进行协作。
我们发现,该组织自2018年以来一直袭击智利的资产,最近又袭击了墨西哥的资产。不过,由于一些目标银行在国际上经营业务,因此在其他国家还是很有可能存在受害者。但是,最近这些攻击似乎更多地集中在拉丁美洲的受害者身上。由于这些组织使用不同的语言(葡萄牙语和西班牙语),因此我们相信巴西的网络犯罪分子正在与当地的编码人员合作,以取回由不同运营商管理的赃款,出售其基础设施和恶意软件构造者的访问权限。每个活动以唯一ID运行,该ID在所使用的版本和CnC之间有所不同。
通常,恶意软件使用添加到MSI文件中的AutoIt或VBS脚本,这些脚本使用DLL-Hijack技术运行恶意DLL,旨在绕过安全解决方案。该恶意软件从浏览器和内存中窃取密码,从而提供远程访问以捕获在线银行访问。它还包括一个用于窃取比特币钱包的模块。它用网络罪犯自己的信息代替了原始的钱包信息。
远程访问PC的子版本
Melcoz 是著名的开源RAT远程访问PC的另一种定制,可在GitHub上获得,以及巴西罪犯开发的许多其他版本。它最初开始瞄准巴西的用户,但至少从2018年开始,该组织就对智利和墨西哥等其他国家表现出了兴趣。此攻击中使用的感染媒介是网络钓鱼电子邮件,其中包含指向可下载的MSI安装程序的链接,如下所示。
用西班牙语编写的网络钓鱼电子邮件
几乎所有经过分析的MSI样本都使用了某个版本的Advanced Installer,并且在CustomAction部分中附加了VBS脚本,这使该脚本在安装过程中运行。该脚本本身可作为将恶意软件加载到系统所需的其他文件的下载器,这些文件作为ZIP包单独托管。我们确认了用于分发Melcoz后门的两种不同技术:AutoIt加载程序脚本和DLL Hijack。
官方的AutoIt3解释器是AutoIt安装软件包的一部分,恶意软件使用它来执行编译的脚本。VBS脚本运行AutoIt解释器,将编译后的脚本作为参数传递。一旦执行,它将加载该库,该库也作为参数传递来调用硬编码的导出函数。
AutoIt脚本充当恶意DLL的加载器
在受害者系统中执行第二阶段的另一种方法是DLL劫持。在此活动中,我们看到了合法的VMware NAT服务可执行文件vmnat.exe被滥用来加载恶意有效负载,尽管该组可以在攻击中使用许多合法的可执行文件。
该恶意软件具有特定的功能,可让攻击者执行与在线银行交易,密码窃取和剪贴板监视有关的操作。我们还发现了不同版本的有效负载:通常将用于从巴西受害者中窃取数据的版本解压缩,而将针对智利和墨西哥银行的版本打包为VMProtect或Themida。对我们来说,这是另一个标志,运营商可以根据当地需求改变其战术。
初始化之后,代码将监视浏览器的活动,以查找在线银行会话。一旦找到这些,恶意软件就使攻击者能够在受害者浏览器的前面显示一个覆盖窗口,以在后台操纵用户的会话。这样,欺诈交易是从受害者的机器执行的,这使得在银行端更难检测到反欺诈解决方案。犯罪分子还可以绕过金融部门采用的两因素身份验证解决方案,请求在银行交易期间询问的特定信息,例如辅助密码和令牌。
该代码还具有一个计时器,用于监视保存到剪贴板的内容。触发匹配后,恶意软件会检查是否存在比特币钱包,然后将其替换为网络犯罪分子的钱包。
攻击者依赖于受到破坏的合法服务器以及他们购买的商业服务器。受感染的服务器主要托管用于攻击受害者的样本,而商业托管则用于C2服务器通信。如前所述,不同的运营商会投放不同的广告系列。这解释了到目前为止所看到的不同的网络基础结构。
根据我们的遥测,在其他拉丁美洲国家和欧洲(主要在西班牙和葡萄牙)检测到了Melcoz样品。
Melcoz 在全球范围内的侦查:集中在巴西,智利,西班牙和葡萄牙
El Gran Grandoreiro
| 首次 | 2016年 |
|---|---|
| 技巧 | Google站点中存储的MaaS,DGA,C2信息 |
| 已确认的受害者 | 巴西,墨西哥,葡萄牙,西班牙 |
与Melcoz和Javali一样,Grandoreiro也开始在拉丁美洲和后来的欧洲扩展攻击,并取得了巨大成功,并致力于使用模块化安装程序来逃避检测。在我们描述的四个家族中,Grandoreiro是全球分布最广的家族。该恶意软件使攻击者可以通过使用受害者的计算机绕过银行机构使用的安全措施来执行欺诈性银行交易。
至少从2016年开始,我们就观察到了这场运动,攻击者会定期改进其技术,以期保持不受监视和活动的时间更长。该恶意软件使用特定的域生成算法(DGA)来隐藏攻击期间使用的C2地址:这是有助于战役群集的关键点之一。
尽管很明显该活动基于分析期间收集到的信息显示许多运营商正在使用MaaS(恶意软件即服务)业务模型,但仍无法将该恶意软件链接到任何特定的网络犯罪组。参与。
在跟踪针对拉丁美洲的网络犯罪活动时,我们发现了一种有趣的攻击,该攻击与已知的巴西银行恶意软件非常相似,但具有与感染媒介和代码本身有关的独特功能。可以识别出两类攻击,第一个攻击针对巴西银行,第二个攻击针对拉丁美洲和欧洲的其他银行。这是可以预料的:许多欧洲银行在拉丁美洲都有分支机构,因此对于网络犯罪分子而言,这自然是下一步。
针对巴西的集群使用被黑的网站和Google Ads来驱动用户下载恶意安装程序。针对其他国家使用鱼叉式网络钓鱼作为传递方法。
伪造页面驱动用户下载恶意有效载荷
在大多数情况下,MSI文件从嵌入式DLL中执行功能,但是在其他情况下,也可以使用VBS脚本代替DLL。
MSI包含从DLL执行特定功能的动作
然后,该功能将下载包含活动中使用的最终有效负载的加密文件。使用基于自定义XOR的算法(密钥为0x0AE2)对文件进行加密。在最新版本中,作者从加密转为使用base64编码的ZIP文件。
主模块负责监视所有浏览器活动,查找与在线银行相关的任何操作。在分析竞选活动时,我们确定了两类活动:第一个活动主要针对巴西目标,第二个活动更多针对国际目标。
该代码表明该活动由各种运营商进行管理。该示例构建指定了一个操作员ID,该ID将用于选择要联系的C2服务器。
用于根据操作员ID生成URL的代码
上面的代码将计算到Google站点页面的路径,该页面包含有关恶意软件将使用的C2服务器的信息。该算法使用特定于用户的密钥以及当前日期,这意味着URL将每天更改。
| ID | 操作员 | 键 | 日期 | 生成路径 |
|---|---|---|---|---|
| 01 | Zemad | jkABCDEefghiHIa4567JKLMN3UVWpqrst2Z89PQRSTbuvwxyzXYFG01cdOlmno | 3月0日 | zemadhjui3nfz |
| 02 | rici | jkABCDEefghFG01cdOlmnopqrst2Z89PQRiHIa4567JKLMN3UVWXYSTbuvwxyz | 3月0日 | ricigms0rqfu |
| 03 | breza | 01cdOlmnopqrst2Z89PQRSTbuvwxjkABCDEefghiHIa4567JKLMN3UVWXYFGyz | 3月0日 | Brezasqvtubok |
| 04 | grl2 | mDEefghiHIa4567JKLMNnopqrst2Z89PQRSTbuv01cdOlwxjkABC3UVWXYFGyz | 3月0日 | grl25ns6rqhk |
| 05 | 约2 | 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz | 3月0日 | rox2rpfseenk |
| 06 | mrb | 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz | 3月0日 | mrbrpfseenk |
| 07 | ER | jkABCDEefghiHIa4567JKLMN3UVWXYFG01cdOlmnopqrst2Z89PQRSTbuvwxyz | 3月0日 | erhjui3nf8 |
然后将联系生成的路径,以获取有关要用于执行的C2服务器的信息。
存储在Google协作平台中的C2信息
操作员使用自定义工具控制受感染的计算机。该工具将在受害者有空时通知操作员,并使操作员能够在机器上执行许多活动,例如:
- 请求银行交易所需的信息,例如SMS令牌或QR码;
- 允许完全远程访问机器;
- 阻止访问银行网站:此功能有助于防止受害者得知资金是从其帐户中转出的。
DGA和Google网站
该活动使用商业托管站点进行攻击。在许多情况下,他们使用名为HFS或HTTP文件服务器的非常特定的Web服务器来托管加密的有效负载。您可以在显示的页面上注意到一个小的变化,该变化有助于显示“感染”而不是默认页面上使用的“命中”。
HFS用于托管加密的有效负载
这些托管站点是一次性的。在操作员转移到另一台服务器之前,每种服务器都使用了很短的时间。我们已经看到Grandoreiro使用DGA函数来生成到存储C2信息的Google站点页面的连接。
至于受害者,可以通过分析样本确认该活动针对巴西,墨西哥,西班牙和葡萄牙。但是,由于目标机构也在其他国家开展业务,其他国家也很有可能成为受害者。
Grandoreiro:专注于巴西,葡萄牙和西班牙
结论
Guildma,Javali,Melcoz和Grandoreiro就是另一个巴西银行集团/业务的例子,该集团已决定将其攻击扩大到国外,目标是其他国家的银行。他们得益于许多在巴西运营的银行在拉丁美洲和欧洲其他地方也有运营的事实,这使得对这些金融机构客户的攻击更加容易进行。
巴西骗子正在迅速创建会员生态系统,招募网络犯罪分子与其他国家合作,采用MaaS(恶意软件即服务),并迅速向其恶意软件中添加新技术,以使其保持相关性并在财务上对其吸引力具有吸引力。伙伴。他们无疑在拉丁美洲引发了这种类型的威胁,这主要是因为他们需要本地合作伙伴来管理赃款并协助翻译,因为它们中的大多数不是西班牙人。这种专业的方法从ZeuS,SpyEye和其他过去的大型银行木马中获得了很多启发。
作为威胁,这些银行木马家族试图通过使用DGA,加密的有效载荷,进程空化,DLL劫持,大量LoLBins,无文件感染和其他技巧来进行创新,以阻止分析和检测。我们认为,这些威胁将演变为针对更多国家的更多银行。我们知道,他们并不是唯一这样做的人,因为来自相同竞争对手的其他家族已经进行了类似的过渡,这可能是受其“竞争对手”成功的启发。在巴西恶意软件开发人员中,这似乎是一个趋势,而且这种趋势将持续下去。
