周二，卡巴斯基网络安全研究人员详细描述了四个不同的巴西银行木马，这些木马针对着巴西、拉丁美洲和欧洲等地区的金融机构。

研究人员将其统称为“四分体”，这些恶意软件包括Guildma、Javali、Melcoz和Grandoreiro——已经进化出了作为后门的功能，并采用了各种模糊处理技术来隐藏其恶意活动，使其不受安全软件的攻击。

卡巴斯基在一份分析报告中指出：“Guildma、Javali、Melcoz和Grandoreiro是另一家巴西银行集团/业务部门的例子，该集团已决定将攻击范围扩大到国外，瞄准其他国家的银行。”

“许多在巴西经营的银行也在拉丁美洲和欧洲等其他地方有业务，所以这使它们很容易扩大对这些金融机构客户的攻击。”

多阶段恶意软件部署过程

Guildma和Javali都采用了多阶段恶意软件部署过程，利用钓鱼电子邮件作为分发初始有效负载的机制。

卡巴斯基发现，Guildma自2015年诞生以来，不仅在其活动中增加了新的功能和隐蔽性，而且还扩展到了巴西以外的新目标，来攻击拉丁美洲的银行用户。

例如，新版本的恶意软件使用压缩电子邮件附件(例如.VBS、.LNK)作为攻击载体，来掩盖恶意负载，或执行一段JavaScript代码以下载该文件并提取其他文件使用的合法命令行工具(如BITSAdmin)的模块。

最重要的是，它利用NTFS备用数据流来隐藏目标系统中下载的有效负载的存在，并利用DLL搜索顺序劫持来启动恶意软件二进制文件，仅在环境没有调试和虚拟化工具的情况下，才能进一步执行。

巴斯基表示“为了执行附加模块，恶意软件使用了进程空心技术将恶意负载隐藏在白名单进程中，例如主进程卡。这些模块是从攻击者控制的服务器下载的，服务器的信息以加密格式存储在Facebook和YouTube页面中。

一旦安装好，最终的有效负载将监视特定的银行网站，这些网站在打开后会触发一系列操作，使网络犯罪分子可以使用受害者的计算机执行任何金融交易。

类似地，Javali(自2017年11月开始活跃)通过下载电子邮件来发送有效负载，从远程C2获取最终阶段的恶意软件，该恶意软件能够访问加密货币网站(Bittrex)或窃取巴西和墨西哥用户的财务登录信息(Mercado Pago)。

窃取密码和比特币钱包

Melcoz是开源RAT远程访问PC的一个变种，自2018年以来一直与智利和墨西哥的一系列攻击有关，该恶意软件能够从剪贴板、浏览器和比特币钱包中窃取密码，方法是用对手拥有的可疑替代品替换原始钱包信息。

它利用安装程序包文件(MSI)中的VBS脚本在系统上，下载恶意软件，然后滥用AutoIt解释器和VMware NAT服务在目标系统上加载恶意DLL。

研究人员说：“这种恶意软件使攻击者能够在受害者的浏览器前显示一个覆盖窗口，从而在后台操纵用户的会话。通过这种方式，欺诈交易是从受害者的机器上进行的，这使得在银行端更难发现反欺诈解决方案。”

此外，攻击者还可以请求在银行交易期间询问的特定信息，例如一次性密码，从而绕过双因素身份验证。

自2016年以来，已追踪到Grandoreiro遍布巴西，墨西哥，葡萄牙和西班牙的攻击活动，除了使用域生成算法(DGA)隐藏攻击过程中使用的C2地址之外，该恶意软件本身还托管在Google站点页面上，并通过受感染的网站和Google Ads或鱼叉式网络钓鱼方法进行分发。

卡巴斯基总结说：“巴西的骗子正在迅速建立一个由附属公司组成的生态系统，招募网络犯罪分子与其他国家合作，采用MaaS(恶意软件即服务)并迅速在其恶意软件中添加新技术，以保持其相关性和对合作伙伴的经济吸引力。”

“这些银行木马试图通过使用DGA、加密有效负载、进程空心化、DLL劫持、大量LoLBins、无文件感染等伎俩作为阻碍分析和检测的手段。我们相信，这些威胁将演变为针对更多国家的更多银行。”