导语:最近Metamorfo银行木马又开始活跃了,且出现了新的迭代形式。它们被攻击者用来收集各种在线银行和金融服务网站的信用卡信息和登录凭据。
前言
早在今年的4月,FireEye实验室就公布了几起针对巴西公司的垃圾邮件攻击,旨在传播银行木马。由于在实施攻击的各个阶段,攻击者使用多种技术规避检测并传播恶意payload,使得研究人员难以完整的分析这类型攻击。例如,火眼实验室检测发现,某次攻击首先发送含有HTML附件的邮件,其中的附件重定向至一个谷歌短URL,而后者又将受害者重定向至云存储站点如GitHub、Dropbox或Google Drive下载一个ZIP文件,用户必须解压缩该文档并双击可执行文件,才能使感染链继续发挥作用。鉴于此,研究人员将针对巴西企业的金融恶意软件活动,统称为 “Metamorfo (变形)”。
最近Metamorfo银行木马又开始活跃了,且出现了新的迭代形式。它们被攻击者用来收集各种在线银行和金融服务网站的信用卡信息和登录凭据。思科Talos团队最近捕获了两个正在进行的Metamorfo银行木马样本,在分析这些样本时,Talos发现了一个专门的用于实施垃圾邮件活动的僵尸网络,如上所述,传播恶意垃圾邮件也是感染进程的一个环节 。
感染进程
在分析这些活动时,Talos发现了两个独立的感染进程,他们由此确信攻击者在10月底到11月初之间使用过这些进程。这些攻击活动在最初的下载和感染进程中使用了不同的文件类型,并最终在针对巴西金融机构的过程中,形成了两个独立的银行木马。这两个攻击活动虽然都对感染进程中使用的各种文件进行了独立的命名,但都使用了相同的命名规则,并且滥用短URL服务以掩盖实际使用的传播服务器。短URL服务的使用还允许攻击者使用一些额外的灵活攻击方法,比如许多组织允许其员工在企业环境中访问短URL程序,这可以使攻击者将短URL转移到托管恶意文件的位置,同时还使他们能够在基于电子邮件的活动中利用这些合法服务。
攻击活动1
Talos使用免费网络托管平台上的压缩文件,识别出了这些垃圾邮件活动。这些压缩文件包含一个Windows LNK文件链接。在此攻击活动中,文件名的命名格式如下:
Fatura-XXXXXXXXXX.zip
其中,“XXXXXXXXXX”是一个10位数的值。
LNK文件格式为:
Fatura pendente - XXXX.lnk
其中,“XXXX”是一个四位的包括字母与数字的值。
LNK文件的目的是下载带有图像文件扩展名(.bmp或.png)的PowerShell脚本:
此命令的目的是通过攻击者的URL下载并执行PowerShell脚本,与此同时,这个新生成的PowerShell脚本也被攻击者进行了混淆:
此脚本hXXps://s3-eu-west-1[.]amazonaws[.]com/killino2/image2.png.用于下载托管在Amazon Web Services(AWS)上的压缩文件。
该压缩文件解压缩后,会出现两个文件:
A dynamic library (.DLL) A compressed payload (.PRX)
有专门的库负责解压缩PRX文件并在远程进程(库注入)中执行它,这个被注入的代码就是本文后面要重点描述的最终有效载荷。
攻击活动2
除了攻击活动1中描述的感染进程外,Talos还观察到了另外一种攻击活动,这些攻击活动在受害系统上传播和执行恶意软件时,会分多个攻击阶段执行。此攻击活动似乎也仅针对讲葡萄牙语的用户。
在各个阶段的攻击活动中,攻击者利用恶意PE32可执行文件来执行感染进程的初始阶段而不是传统的Windows快捷方式文件(LNK)。这些PE32可执行文件会使用以下命名规则,以ZIP压缩文件的形式呈现给受害者:
Fatura-XXXXXXXXXX.zip
其中,“XXXXXXXXXX'”是一个10位数的值。
PE32可执行文件位于ZIP压缩文件中,这些可执行文件使用以下命名规则:
Fatura pendente - XXXX.exe
其中,“XXXX”是一个四位的包括字母与数字的值。
在执行恶意活动时,这些PE32文件会在%TEMP%的子目录中创建批处理文件。然后使用Windows命令处理器执行批处理文件,最后在执行恶意PowerShell时,恶意软件会按照以下说明,下载受攻击者控制的服务器上托管的内容,并使用以下命令将下载的内容发送给Invoke-Expression(IEX)。
接着,攻击者会删除这些批处理文件,并继续感染进程。
如果受害者用这些短链接进行访问时,HTTP重定向会将客户端重定向到受攻击者控制的服务器,该服务器会托管一个PowerShell脚本,该脚本被传递到IEX并按如上所述的过程执行。此时,服务器会提供以下PowerShel脚本。
这些PowerShell脚本会检索并执行正在发送给系统的恶意载荷,另外,这些PowerShell还利用了短链接服务,具体过程如上图所示。
使用短链接服务后,用户可以通过在缩短的URL末尾添加“+”符号来获取更多信息。结果我们发现,该链接是在10月21日创建的,很可能是在攻击活动开始之前,通过Bitly服务,研究人员查到了已注册的点击数量,到目前为止已经发现了699次点击,Bitly是一家为人们提供网址和链接缩短、分享和跟踪服务的创业公司。
当HTTP请求JPEG时,虽然指定的内容类型是“image/ JPEG”,但服务器实际上会传送包含名为“b.dll”的Windows DLL文件的压缩文件。
然后脚本会执行休眠模式,让设备休眠10秒钟,然后加压缩文件并将DLL保存到系统上%APPDATA%的子目录中。然后使用RunDLL32来执行恶意软件,感染系统。由于在二进制文件中包含大量0x00,未压缩的DLL非常大,大小约为366MB。这可能被用于逃避自动检测和分析系统,因为许多系统无法正确处理大型文件。类似的,这也将避免沙箱检测,因为大多数沙箱不会运行这么大的文件。
此外,在感染进程中,受感染的系统会指向攻击者控制的服务器(srv99[.]tk)。
对与此域关联的DNS通信的分析显示,尝试解析此域的次数在不断增加,这与已观察到的攻击活动相对应。
可以看出,这些解决方案的请求大部分来自位于巴西的系统。PowerShell执行还促进了与动态DNS服务的通信,与第一个攻击活动中的短地址链接类似,研究人员能够获得与此域相关的额外信息。
创建的时间可以很清楚地看到,不过时间是在攻击活动开始的几天之后。这表明攻击者会使用不同的电子邮件来发送相同的垃圾邮件信息。
创建一个专门用于创建电子邮件的僵尸网络系统
以上讲得这两个恶意活动的最终目的都是为了传播银行木马。但是,Talos却发现了Amazon S3 Bucket上托管的其他工具和恶意软件。这个恶意软件是一个远程管理工具,可以创建电子邮件。这些电子邮件是在BOL Online电子邮件平台上创建的,这是一个在巴西提供电子邮件托管和免费电子邮件服务的互联网门户,攻击者的主要目标似乎是创建一个专门用于创建电子邮件的僵尸网络系统。
由于恶意软件是用C#开发的,包含许多葡萄牙语,以下是用于创建BOL电子邮件的函数。
创建后,随机生成的用户名和密码将被发送到C2服务器。BOL Online使用CAPTCHA系统(验证码系统)防止设备创建电子邮件。为了绕过这种保护,恶意软件的开发者使用了Recaptcha API和C2服务器提供的令牌。
在研究人员调查过程中,所有创建的电子邮件都以"financeir."为前缀。该木马在被安装后,会自我进行删除,然后向后台发送创建的电子邮件凭证,并重新启动、下载和执行由C2服务器提供的二进制文件。
目前Talos发现了三个C2服务器:
hxxp://criadoruol[.]site/ hxxp://jdm-tuning[.]ru/ hxxp://www[.]500csgo[.]ru/
截止发稿前,研究人员总共在这三个服务器上发现了700多个被入侵的系统,它们都是攻击者创建的僵尸网络系统。最早的一次使用僵尸网络系统的时间是10月23日,它使用上述技术在BOL Online服务上创建了4000多封独立的电子邮件。其中一些电子邮件就是用来实施攻击的,这也是研究人员本次所捕获的垃圾邮件活动。
考虑到文件名的命名规则、受害者行为以及上述两种攻击活动的特定目标,Talos团队发现它们与以前发现的一种启动S3 Bucket的电子邮件生成工具非常类似。这意味着,它们之间有着很大的联系,攻击者试图使用不同的发送方式和电子邮件来发送他的垃圾邮件。
传播的有效载荷
研究人员发现了攻击者在这些活动中部署的两种不同的有效载荷,是利用Delphi(Windows平台下著名的快速应用程序开发工具)开发的,是针对巴西银行的银行木马。
安全公司FireEye已经对第一个有效载荷做了详细说明,详情请点此。它会获取有关受攻击的系统的信息,并将数据发送回C2服务器。它还包括一个键盘记录器,它与我们在本文中描述的键盘记录器完全相同。当用户登录到银行的网站时,恶意软件就开始启动,跳出一个伪造的银行弹出窗口与他们进行交互,以下是试图窃取用户CVV的示例。
而第二个有效载荷虽然具有和第一个有效载荷完全相同的功能,但实现方式却不同。它主要通过向用户弹出伪造的银行窗口,来绕过双因素认证。
然后,键盘记录器将检索目标输入的信息。以下是正在遭受这一恶意软件攻击的金融服务组的名单:
桑坦德银行、伊塔乌银行、巴西银行、Caixa银行、Sicredi银行、布拉德斯科银行、Safra银行、Sicoob银行、亚马逊银行、Nordeste银行、Banestes银行、Banrisul银行、Banco de Brasilia和花旗银行。
总结
这种恶意软件在世界各地都很流行,这进一步证明了银行木马仍然很流行。利用这个样本,攻击者瞄准了特定的巴西银行机构。这可能表明攻击者来自南美,在那里,他们可以更容易的利用获得的细节和凭证进行非法金融活动。我们将继续监控整个威胁领域的金融犯罪活动。这并不是一个复杂的木马,攻击者可以很容易通过滥用垃圾邮件发送他们的恶意有效载荷,从而达到窃取用户的目的。这个攻击活动还显示了攻击者为了获取更多的邮件次数,而无限对文件进行重命名,他们通过创建了一个自动生成机制来为更多的垃圾邮件攻击创建新邮件。