4种惊险的巴西银行木CC防御马正试图抢劫全球用户-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 4种惊险的巴西银行木CC防御马正试图抢劫全球用户

4种惊险的巴西银行木CC防御马正试图抢劫全球用户

小墨安全管家 2020-07-16 21:42 CC防护 89 ℃
DDoS防御

“很多在巴西经营的银行也在拉丁美洲和欧洲等其他地点有业务,于是这使它们特别容易扩大对这些金融机构客户的攻击。”

“这些银行木马试图经过使用DGA、加密有效负载、进程空心化、DLL劫持、大量LoLBins、无文件感染等伎俩作为妨碍分析和检测的手段。我们相信,这些威胁将演变为针对更多国家的更多银行。”

此外,攻击者还能够请求在银行交易期间询咨询的特定信息,例如一次性密码,从而绕过双因素身份验证。

类似地,Javali(自2017年11月开始活跃)经过下载电子邮件来发送有效负载,从远程C2猎取最后来时期的恶意软件,该恶意软件可以访咨询加密货币网站(Bittrex)或窃取巴西和墨西哥用户的财务登录信息(Mercado Pago)。

自2016年以来,已追踪到Grandoreiro遍布巴西,墨西哥,葡萄牙和西班牙的攻击活动,除了使用域生成算法(DGA)躲藏攻击过程中使用的C2地址之外,该恶意软件本身还托管在Google站点页面上,并经过受感染的网站和Google Ads或鱼叉式网络钓鱼想法举行分发。

研究人员将其统称为“四分体”,这些恶意软件包括Guildma、Javali、Melcoz和Grandoreiro——基本进化出了作为后门的功能,并采纳了各种含糊处理技术来躲藏其恶意活动,使其不受安全软件的攻击。

周二,卡巴斯基网络安全研究人员详细描述了四个不同的巴西银行木马,这些木马针对着巴西、拉丁美洲和欧洲等地区的金融机构。

最重要的是,它利用NTFS备用数据流来躲藏目标系统中下载的有效负载的存在,并利用DLL搜索顺序劫持来启动恶意软件二进制文件,仅在环境没有调试和虚拟化工具的事情下,才干进一步执行。

巴斯基表示“为了执行附加模块,恶意软件使用了进程空心技术将恶意负载躲藏在白名单进程中,例如主进程卡。这些模块是从攻击者操纵的服务器下载的,服务器的信息以加密格式存储在Facebook和YouTube页面中。

Melcoz是开源RAT远程访咨询PC的一具变种,自2018年以来向来与智利和墨西哥的一系列攻击有关,该恶意软件可以从剪贴板、扫瞄器和比特币钞票包中窃取密码,想法是用对手拥有的可疑替代品替换原始钞票包信息。

研究人员讲:“这种恶意软件使攻击者可以在受害者的扫瞄器前显示一具覆盖窗口,从而在后台控制用户的会话。经过这种方式,欺诈交易是从受害者的机器上举行的,这使得在银行端更难发觉反欺诈解决方案。”

1594886434.png!small

卡巴斯基在一份分析报告中指出:“Guildma、Javali、Melcoz和Grandoreiro是另一家巴西银行集团/业务部门的例子,该集团已决定将攻击范围扩大到国外,瞄准其他国家的银行。”

卡巴斯基发觉,Guildma自2015年诞生以来,不仅在其活动中增加了新的功能和隐蔽性,而且还扩展到了巴西以外的新目标,来攻击拉丁美洲的银行用户。

窃取密码和比特币钞票包

多时期恶意软件部署过程

它利用安装程序包文件(MSI)中的VBS足本在系统上,下载恶意软件,接着滥用AutoIt解释器和VMware NAT服务在目标系统上加载恶意DLL。

卡巴斯基总结讲:“巴西的骗子正在迅速建立一具由附属公司组成的生态系统,招募网络犯罪分子与其他国家合作,采纳MaaS(恶意软件即服务)并迅速在其恶意软件中添加新技术,以保持其相关性和对合作伙伴的经济吸引力。”

例如,新版本的恶意软件使用压缩电子邮件附件(例如.VBS、.LNK)作为攻击载体,来掩盖恶意负载,或执行一段JavaScript代码以下载该文件并提取其他文件使用的合法命令行工具(如BITSAdmin)的模块。

一旦安装好,最后来的有效负载将监视特定的银行网站,这些网站在打开后会触发一系列操作,使网络犯罪分子能够使用受害者的计算机执行任何金融交易。

Guildma和Javali都采纳了多时期恶意软件部署过程,利用钓鱼电子邮件作为分发初始有效负载的机制。


DDoS防御

当前位置:主页 > CC防护 > 4种惊险的巴西银行木CC防御马正试图抢劫全球用户

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119