4种危险的巴西银行木马正试图抢劫全球用户
周二,卡巴斯基网络安全研究人员详细描述了四个不同的巴西银行木马,这些木马针对着巴西、拉丁美洲和欧洲等地区的金融机构。
研究人员将其统称为“四分体”,这些恶意软件包括Guildma、Javali、Melcoz和Grandoreiro——已经进化出了作为后门的功能,并采用了各种模糊处理技术来隐藏其恶意活动,使其不受安全软件的攻击。
卡巴斯基在一份分析报告中指出:“Guildma、Javali、Melcoz和Grandoreiro是另一家巴西银行集团/业务部门的例子,该集团已决定将攻击范围扩大到国外,瞄准其他国家的银行。”
“许多在巴西经营的银行也在拉丁美洲和欧洲等其他地方有业务,所以这使它们很容易扩大对这些金融机构客户的攻击。”
多阶段恶意软件部署过程
Guildma和Javali都采用了多阶段恶意软件部署过程,利用钓鱼电子邮件作为分发初始有效负载的机制。
卡巴斯基发现,Guildma自2015年诞生以来,不仅在其活动中增加了新的功能和隐蔽性,而且还扩展到了巴西以外的新目标,来攻击拉丁美洲的银行用户。
例如,新版本的恶意软件使用压缩电子邮件附件(例如.VBS、.LNK)作为攻击载体,来掩盖恶意负载,或执行一段JavaScript代码以下载该文件并提取其他文件使用的合法命令行工具(如BITSAdmin)的模块。
最重要的是,它利用NTFS备用数据流来隐藏目标系统中下载的有效负载的存在,并利用DLL搜索顺序劫持来启动恶意软件二进制文件,仅在环境没有调试和虚拟化工具的情况下,才能进一步执行。
巴斯基表示“为了执行附加模块,恶意软件使用了进程空心技术将恶意负载隐藏在白名单进程中,例如主进程卡。这些模块是从攻击者控制的服务器下载的,服务器的信息以加密格式存储在Facebook和YouTube页面中。
一旦安装好,最终的有效负载将监视特定的银行网站,这些网站在打开后会触发一系列操作,使网络犯罪分子可以使用受害者的计算机执行任何金融交易。
类似地,Javali(自2017年11月开始活跃)通过下载电子邮件来发送有效负载,从远程C2获取最终阶段的恶意软件,该恶意软件能够访问加密货币网站(Bittrex)或窃取巴西和墨西哥用户的财务登录信息(Mercado Pago)。
窃取密码和比特币钱包
Melcoz是开源RAT远程访问PC的一个变种,自2018年以来一直与智利和墨西哥的一系列攻击有关,该恶意软件能够从剪贴板、浏览器和比特币钱包中窃取密码,方法是用对手拥有的可疑替代品替换原始钱包信息。
它利用安装程序包文件(MSI)中的VBS脚本在系统上,下载恶意软件,然后滥用AutoIt解释器和VMware NAT服务在目标系统上加载恶意DLL。
研究人员说:“这种恶意软件使攻击者能够在受害者的浏览器前显示一个覆盖窗口,从而在后台操纵用户的会话。通过这种方式,欺诈交易是从受害者的机器上进行的,这使得在银行端更难发现反欺诈解决方案。”
此外,攻击者还可以请求在银行交易期间询问的特定信息,例如一次性密码,从而绕过双因素身份验证。
自2016年以来,已追踪到Grandoreiro遍布巴西,墨西哥,葡萄牙和西班牙的攻击活动,除了使用域生成算法(DGA)隐藏攻击过程中使用的C2地址之外,该恶意软件本身还托管在Google站点页面上,并通过受感染的网站和Google Ads或鱼叉式网络钓鱼方法进行分发。
卡巴斯基总结说:“巴西的骗子正在迅速建立一个由附属公司组成的生态系统,招募网络犯罪分子与其他国家合作,采用MaaS(恶意软件即服务)并迅速在其恶意软件中添加新技术,以保持其相关性和对合作伙伴的经济吸引力。”
“这些银行木马试图通过使用DGA、加密有效负载、进程空心化、DLL劫持、大量LoLBins、无文件感染等伎俩作为阻碍分析和检测的手段。我们相信,这些威胁将演变为针对更多国家的更多银行。”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
推特史上最严重安全事故!马斯克奥巴马苹果等多位大V账号被黑,损失已达80万
大数据文摘出品 作者:刘俊寰、牛婉杨 对推特来说,今天注定是个不眠夜。 刚刚,这家全球最大的社交平台遭到了史上最严重、规模最大的安全攻击。大量大V认证账号被黑,包括比尔·盖茨、伊隆·马斯克、沃伦·巴菲特,杰夫·贝佐斯、前总统奥巴马、前副总统拜登等个人账号,以及苹果、Uber等科技公司的官方账号都受到波及。 美国东部时间下午四点,大量推特账号被黑客攻击,开始发布一些数字货币相关的钓鱼消息。 并且很快,这波攻击转向了影响力更大的名人账号上,他们发布的内容如出一辙,几乎都是通过比特币向其经过验证的个人资料募集捐款。 这些政客和名人的推特信息在被删除前已经收到上千点赞,有时同一消息被删除后又重新再发出。 美东时间下午5点45左右,推特发表声明,表示公司正在调查这次事件,也正在采取紧急措施进行纠正。 在大约半小时内,推特直接禁止带有蓝色标记的用户发布消息,这些标记通常是推特官方给定到某些实名且具有一定影响力的大V用户。 晚上7点18分,推特表示,部分账号仍然处于“禁言”状态,相关问题还在调查中。 推特首席执行官Jack Dorsey在晚些时候发推特表示,“这对我们来说是艰难的一天”,同时他补充道...
- 下一篇
数据安全法(草案)》出台,对企业有何影响?
2020年7月2日,全国人大常委会第二十次会议审议了《数据安全法(草案)》(以下简称《数安法》)并公开征求意见。《数安法》主要围绕着数据安全管理各项基本制度、促进数据安全和发展的措施、解决数据安全领域突出总量、满足电子政务数据合理需求展开。 在这之前,国内数据安全建设的指导性文件,是国家互联网信息办公室去年5月28日发布的《数据安全管理办法(征求意见稿)》(以下简称《办法》)。《数安法》和《办法》之间的关系十分紧密,互为补充和支撑,共同搭建更加强大的数据安全保护体系,也体现了国家对于数据安全保护的高度重视。 但相应的,《数安法》中的大部分细则较《办法》都有了进一步的明晰和提升,《数安法》对企业而言,也已经成为了数据安全建设的全新挑战。 覆盖更广的数据安全保护 此次《数安法》的一大特点,就是“覆盖更广”,具体分为行为、对象和空间上的规范。 先说行为,《数安法》明确了数据的概念,是指任何以电子或者非电子形式对信息的记录,需要遵守规范的“数据活动”包括:数据的收集、存储、加工、使用、提供、交易、公开等行为。环节的数量较《办法》中增加了4个,同时删除了“纯粹家庭和个人事务除外”的规定。将单纯个...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8编译安装MySQL8.0.19
- CentOS7设置SWAP分区,小内存服务器的救世主
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装