导语:IBM X-Force新发现的银行特洛伊木马选择可见安装和添加社交工程组件,脱离了恶意软件研究人员观察到的常规策略。

IBM X-Force研究人员通过其商业银行客户分析了针对巴西主要银行的新金融恶意软件。这个恶意软件被称为CamuBot,因为它试图伪装成它所针对的银行所需的安全模块。

CamuBot于2018年8月在巴西出现,专门针对商业银行用户。根据X-Force的调查结果,恶意软件运营商正在积极利用它来瞄准公司和公共部门组织,将社交工程和恶意软件策略混合在一起,以绕过强大的身份验证和安全控制。

一、巴西典型代表

与在巴西运营的其他恶意软件不同,CamuBot是一个全新代码。与典型的银行特洛伊木马完全不同,CamuBot不会隐藏其部署。相反,它非常明显,使用银行徽标和整体品牌,看起来像一个安全应用程序。因此,它获得了受害者的信任,并引导他们安装它,却没有意识到正在运行特洛伊木马的安装向导。

CamuBot比针对巴西用户的欺诈计划中常用的远程覆盖型恶意软件更复杂。CamuBot的策略类似于东欧制造的恶意软件,如TrickBotDridexQakBot,而不是简单的虚假屏幕和远程访问工具,每个恶意软件都专注于商业银行业务,并将社交工程与恶意软件辅助帐户和设备接管相结合。

二、钓鱼电话

CamuBot的欺诈方法是一系列元素,旨在吸引潜在的受害者在设备上安装恶意软件,然后在不知不觉中授权进行欺诈交易。

为了进行攻击,CamuBot运营商开始进行一些基本的侦察,以寻找与某个金融机构合作的企业。然后,他们向可能拥有该企业银行帐户凭据的人打电话。

攻击者将自己伪装成银行员工,并指示受害者浏览某个URL以检查他或她的安全模块是否是最新的。当然,有效性检查结果是否定的,攻击者欺骗受害者为他或她的网上银行活动安装“新”安全模块。

建议下载模块的人关闭所有正在运行的程序,并使用Windows管理员配置文件运行安装。

图1:CamuBot伪装成假应用程序,在安装前询问最低要求

此时,具有银行徽标的虚假应用程序开始下载。在幕后,CamuBot在受害者的设备上被取出并执行。每次攻击时,文件的名称和下载的URL都会发生变化。

图2:伪装成假应用程序的CamuBot完成安装

作为其简单感染例程的一部分,CamuBot将两个文件写入%ProgramData%Windows文件夹,在设备上建立代理模块。可执行文件的名称不是静态的,每次攻击都会发生变化。然后它将自己添加到防火墙的规则中以使其显得可信。它对防病毒软件也是如此:

C:\Windows\System32\netsh.exe” firewall add allowedprogram “<malware_dropper_directory>” Anti-Virus ENABLE

图3:CamuBot编辑Windows防火墙设置为可信的

为了与受感染的设备通信,CamuBot建立了基于Secure Shell(SSH)的SOCKS代理。根据X-Force的分析,SSH模块的动态链接库(DLL)是一个通过GitHub获得的免费工具。DLL文件名为“%TEMP%\ Renci.SshNet.dll”。

加载代理模块并建立端口转发。此功能通常用于从客户端设备到服务器的应用程序端口的双向隧道。在CamuBot中,隧道允许攻击者通过受感染的计算机引导自己的流量,并在访问受感染的银行帐户时使用受害者的IP地址。

安装完成后,弹出屏幕会将受害者重定向到一个声称是其银行网上银行门户的网络钓鱼站点。要求受害者登录他或她的帐户,从而在不知不觉中将凭据发送给攻击者。

此时,如果凭据足以进行帐户接管,则攻击者会挂断。

三、CamuBot可以击败生物识别身份验证吗?

如果CamuBot的运营商遇到连接到端点的强认证设备,恶意软件可以获取并安装该设备的驱动程序。然后要求受害者远程共享它。由于信任他们正在与银行代表交谈,受害者可以授权访问,他们不知道通过共享对连接设备的访问,可以允许攻击者拦截为验证目的而生成的一次性密码。

图4:CamuBot为强身份验证中使用的连接设备提取并安装驱动程序

有了一次性代码,犯罪分子可以尝试进行欺诈性交易,通过他们的IP地址进行隧道传输,使会话在银行方面看起来合法。

根据X-Force研究人员的说法,更为关注的可能性是CamuBot部署的设备驱动程序与同一供应商提供的其他设备类似,其中一些设备用于生物识别身份验证。如果欺骗用户授权相同的远程共享,他或她可能会在不知不觉中攻破生物识别身份验证过程。

四、传播和目标

CamuBot的传播是个性化的。由于恶意软件的运营商以巴西的企业为目标,因此很有可能他们从本地电话簿,搜索引擎或专业社交网络收集信息,以获取拥有企业或拥有企业银行帐户凭据的人员。

目前,CamuBot面向巴西的企业账户持有人。X-Force的研究人员还没有看到CamuBot在其他地区使用过,但这可能会随着时间的推移而改变。可以在 X-Force Exchange上了解CamuBot的最新信息。

部分CamuBot 样本

· 9eab7ea297ea71057691c09b485d646f

· a000fe90363517e0fc4c8d02f7830825

· 684AAA16C9B54E4645C8B5778DB7562F

· CD27C9FC659B50776E3BD208A42F1E3F

· 7D50411C9621F1AD00996C8CE0F1AC20

源链接

Hacking more

...