在过去的几个月中,IBM X-Force研究人员注意到一种常见的恶意软件威胁已扩散到西班牙的银行,这些恶意软件威胁通常会影响巴西的银行客户。广告系列的兴起促使我们进一步进行了研究。
远程覆盖的银行木马程序Grandoreiro未经重大修改就迁移到了西班牙,证明了知道来自巴西的恶意软件的攻击者正在与西班牙的攻击者合作,或者自己将攻击传播到了该地区。远程覆盖木马很容易在地下和黑暗网络市场中找到和购买。
最近的一项宣传活动使用COVID-19主题视频向Grandoreiro提供了诱骗功能,诱使用户运行隐藏的可执行文件,并使用旨在清空其银行帐户的远程访问工具(RAT)感染其设备。
简而言之,远程覆盖威胁
在拉丁美洲,远程覆盖恶意软件的趋势非常丰富。尽管这种简单的恶意软件攻击在2014年左右在巴西开始流行,但仍继续在本地网络犯罪分子中流行,被认为是该地区最大的金融恶意软件威胁。
野外活动中存在各种各样的远程覆盖恶意软件代码,每个代码都具有类似的代码,并具有经过修改的部署过程和感染机制。
用户通过垃圾邮件,网络钓鱼页面或恶意附件感染。一旦安装在目标设备上,该恶意软件就会在访问实体(主要是本地银行)的硬编码列表后生效。
用户进入目标网站后,攻击者会收到通知,可以远程接管设备。当受害者访问其在线银行帐户时,攻击者可以显示全屏覆盖图像(因此称为“远程覆盖”),其外观看起来像是银行网站的一部分。这些页面可以阻止受害者访问该站点,从而允许攻击者在进行初始身份验证后转移资金,也可以包含提示用户填写的其他数据字段。
在后台,攻击者从受感染的帐户启动欺诈性的资金转移,并实时利用受害者的在场信息来获取完成该过程所需的任何信息。
Grandoreiro的分娩和感染程序
分析最近的Grandoreiro攻击的X-Force研究人员注意到以下发现:
- 该恶意软件通常通过包含将收件人定向到感染区的URL的垃圾邮件活动传播。
- 感染的第一阶段是装载程序组件。我们的团队找到了许多由Grandoreiro攻击者使用的装载程序,这些装载程序被屏蔽为带有.msi扩展名的发票文件,并放置在易于访问的GitHub存储库中。
- 感染的第二阶段通过加载程序代码中的硬编码URL获取Grandoreiro有效负载。
- Grandoreiro被执行并感染设备。
Grandoreiro可执行文件最初是一个没有其他模块的独立放置器。执行后,它将根据执行位置写入运行密钥。

图1:Grandoreiro运行键
一些来自Grandoreiro攻击的示例图像显示,它告知受害者他们需要安装一个假定的安全应用程序。


图2:由Grandoreiro攻击者提取的图像,要求用户安装恶意软件
Bot-C&C通讯
Grandoreiro的机器人与命令与控制(C&C)服务器的通信已加密,并通过SSL协议传输。作为攻击者方面的一项操作安全功能,受感染设备的设置日期必须与最近的活动日期相匹配,才能成功连接到C&C服务器。这由一种算法验证,否则该算法会将通信定向到本地主机,如下图所示。

图3:通过HTTP POST请求的Grandoreiro机器人通信模式
与通讯算法匹配后,将通过sites.google.com/view/发送和发送通讯包。这只是URL的一部分,并且已硬编码为恶意代码。要完成URL路径,受感染设备上的信息需要与攻击者的通信算法相匹配,后者会生成路径的第二部分。例如:
hxxps://sites.google [。] com / view / brezasq12xwuy
一旦建立连接,当受害者访问银行站点时,恶意软件很可能会使用它向攻击者发送通知。通过C&C还可以促进机器信息,剪贴板数据和远程访问功能。
设置伪造的浏览器扩展
执行后,该示例将运行约六分钟,此时计算机将突然重新启动。启动后几分钟,恶意软件会写入一个名为ext.zip的压缩存档文件,它将从中提取其他文件,并将其放置在C:/%user%/ * extension folder * / *下的目录中。
提取的文件是现有的合法Google Chrome浏览器扩展程序(称为Edit This Cookie)的修改版本。
在下一步中,放置程序将写入新的chrome .lnk或Windows OS快捷方式文件扩展名文件,或者如果已有文件,则替换原始文件。
新的Chrome浏览器快捷方式包含一个“ —load-extension”参数,用于在启动浏览器时加载新的扩展程序。

图4:由Grandoreiro创建的伪造的浏览器扩展
这是根据我们的分析得出的目标路径的示例:
“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –load-extension=”%userprofile%\F162FD4091BD6D9759E60C3″
如果Chrome在感染开始发作之前已经打开,则该恶意软件将强制关闭所有chrome.exe线程以终止进程。这也将迫使受害者使用新编写的.lnk文件重新打开浏览器,该文件现在已加载了Grandoreiro的恶意扩展名。使用此特定的.lnk文件,此扩展名将在每次浏览器启动时加载。
请注意,浏览器本身未上钩。从任何其他Chrome快捷方式链接执行浏览器都会正常启动并运行该浏览器,而无需恶意扩展程序,从而抵消了恶意软件控制受害者行为的能力。
由于此恶意扩展程序正试图通过合法的Chrome插件,因此Grandoreiro的开发人员将其命名为“ Google插件” 1.5.0版。在视觉上,它在浏览器窗口中添加了一个方形按钮,而不是原始插件上的“ cookie”按钮。

图5:由Grandoreiro创建的伪造的浏览器扩展-假按钮
此扩展名还将询问用户各种权限:
- 阅读浏览记录
- 显示通知
- 修改您复制和粘贴的数据
实际的代码内权限:
- “tabs”
- “activeTab”
- “webNavigation”
- “all_urls”
- “cookies”
- “contextMenus”
- “unlimitedStorage”
- “notifications”
- “storage”
- “clipboardWrite”
- “browser”
- “webRequest”
- “webRequestBlocking”
- “<all_urls>”
部署并安装扩展后,放置程序将在%appdata%/ local / * /下写入另外三个文件:
- EXT.dat
- RB.dat
- EML.dat
该恶意软件在EXT.dat文件上运行"看门狗",并在尝试删除后将其重新写入。
使用修改后的扩展名,攻击者可以从cookie中收集用户信息。一些收集的信息包括以下字段:
- “url”
- “tabid”
- “PASSANDO PARAMETRO”
- “cookie”
- “name”
- “domain”
- “value”
- “expired”
- “FormData”
- “WEBMAIL”
- “LoginForm[password]”
- “CHECKBOX_TROCA_SENHA”
- “ccnumber”
我们怀疑恶意软件使用此扩展程序来获取受害者的cookie,并从另一台设备使用它们来执行受害者的活动会话。使用这种方法,攻击者无需继续控制受害者的机器。
请注意,收集的数据中的某些字符串仍以葡萄牙语编写。将Grandoreiro变体连接到巴西的另一个窍门是恶意浏览器扩展代码中的“ default_locale”设置,该设置被设置为“ pt_BR”(可能表示葡萄牙语_巴西)。

图6:Grandoreiro-巴西血统
受害者监测
一旦在受感染的设备上处于活动状态,Grandoreiro将在后台等待受害者采取触发该操作的操作,例如浏览目标银行的网站。在这种情况下,攻击将调用恶意软件的远程访问功能,并通过在受害者的屏幕上启动恶意图像来诱使他们保持会话存活并提供可以帮助攻击者的信息,从而实时与受害者互动。
图像被预先制成看起来像目标银行的界面,攻击者可以实时启动它们。
Grandoreiro:巴西和西班牙的代码版本密切相关
在发现西班牙的Grandoreiro攻击后,我们的团队研究了修改代码。我们确定源代码是80%到90%相同。有理由认为,在西班牙部署Grandoreiro的攻击者与在巴西开展活动的人有一些联系。

图7:西班牙和巴西的Grandoreiro版本相似度为80–90%
简单化的银行恶意软件:如果它没有破产……
银行木马是全球各种攻击者中的一种流行工具,他们通过感染他们从其银行中使用的设备来劫持那些毫无戒心的受害者的银行帐户。
在全球舞台上,由组织的网络犯罪团伙操作的复杂的模块化银行木马(如TrickBot和IcedID)通常被用来对付各个国家的大型银行。但这与我们在拉美地区继续看到的形成鲜明对比,而语言障碍可以使相同的网络犯罪分子在拉美地区以外的西班牙语/葡萄牙语国家开展业务。
臭名昭著的简单化恶意软件代码在这些地区占据主导地位,几乎所有级别的攻击者都可以对消费者和企业进行访问和使用。尽管相对简单,但其功能在于攻击者能够在其正常的网上银行活动范围内接管设备并实时欺骗受害者。
未经允许不得转载:x-sec » 木马程序Grandoreiro将目标对准西班牙的银行