攻擊巴西和台灣地區的無文件銀行木馬分析

研究人員近日分析了一個含有多個.bat附件的無文件惡意軟體，可以下載含有銀行木馬payload的powershell，並安裝黑客工具和信息竊取器。研究人員分析發現，惡意軟體會竊取機器信息和用戶憑證、掃描與特定巴西銀行相關的字元串和其他與保存的outlook聯繫人相關的網路鏈接、安裝黑客工具RADMIN。統計數據表明受感染最嚴重的區域有巴西和中國台灣。

除了訪問用戶銀行賬戶外，從用戶訪問的網站中竊取的PII和記錄的機器憑證會被進一步濫用甚至出售。考慮到金融服務和客戶的基礎，研究人員認為攻擊者可能在不斷發展更大的殭屍網路或大規模的郵件目標攻擊。

行為分析

圖1. 無文件銀行木馬感染鏈分析

圖2. 含有下載的字元串腳本的batch文件代碼

感染後，木馬會連接到hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip來下載PowerShell代碼，並連接到hxxp://35[.]227[.]52[.]26/loads/20938092830482 來執行代碼，連接到其他URL、提取和重命名文件。這些被重命名的文件看似是有效的Windows函數，如可執行文件和圖像文件。

圖3. 從URL下載和執行PowerShell腳本的腳本

圖4. 釋放和重命名的樣本，看似是合法的Windows文件

惡意軟體會在開始菜單中釋放.LNK文件，迫使系統在3分鐘後重啟，並且會鎖屏以迫使用戶輸入用戶名和密碼。利用系統的安全登陸特徵，惡意軟體可以檢測到輸入的錯誤憑證，並通知用戶再次輸入。惡意軟體還可以用用戶的正確憑證登陸系統，並將憑證發送到C2伺服器，並刪除開始菜單中釋放和創建的文件和文件夾以隱藏惡意行為的痕迹。另一個木馬會打開outlook來收集保存的郵箱地址，然後發送到C2伺服器。如果機器沒有安裝outlook，就執行下一步但是跳過發送收集的郵箱地址。

圖5. 木馬強制受感染的機器重啟以收集用戶憑證和保存的郵箱地址

惡意軟體還會釋放和安裝黑客工具RADMIN以及從GitHub文件夾中下載的配置文件，安裝在錐面的文件夾RDP Wrapper中。惡意軟體會通過配置文件註冊表來隱藏所有遠程訪問活動，當用戶退出系統後，攻擊者就可以登陸並獲取管理許可權，並隱藏屏幕活動。

圖6.安裝的HKTL_RADMIN.

系統重啟和用戶登陸後，惡意軟體就會刪除所有的Google .LNK，並修改LNK的指針cmd.exe /C copy 「C:UsersPublicChrome.LNK」 ,」%Application Data%MicrosoftInternet ExplorerQuick LaunchUser PinnedImplicitAppShortcutsGoogle Chrome.LNK」 來替換Google .LNK為惡意.LNK文件來運行惡意文件。然後釋放batch文件來載入木馬，並將其隱藏到Google Chrome擴展中。惡意軟體在執行前會掃描系統來搜索特定的字元串，如果檢測到開源開發工具或調試器或cvv digo de seguran這樣的特殊字元串就停止運行。惡意軟體還會監控用戶訪問的網站，當點擊#signin 或 #login-signin這樣的按鈕後，就開始監控系統並發送到C2。

當運行環境版本低於Windows 7, 8, 8.1, 10或不是Windows操作系統的話，木馬會終止運行，因為用來收集郵件地址、GoogleChrome Login Data和OPENSSL到C2的函數庫不支持Windows xp及更早版本。而且攻擊中使用的RADMIN版本不支持低於Windows的系統。

該攻擊活動被黑的攻擊者還在不斷更新其惡意軟體。Payload中融合了多個特徵，包括使用RADMIN增加了受感染的主機被濫用作為殭屍網路的可能性。

總結

網路犯罪分子通過便捷的在線銀行服務來對目標發起攻擊，考慮到這3個銀行在巴西、拉美地區都是最大的，企業和個人用戶都可能會成為感染和攻擊的入口。除了竊取在線銀行憑證和遠程訪問系統，攻擊者還會收集用戶郵箱中的聯繫人郵箱地址用於大規模的垃圾郵件攻擊活動，而且可能會被用於釣魚和BEC攻擊。

無文件惡意軟體已經不是一個新名詞，但是也在不斷的發展中，現有了的自動化分析和檢測技術仍然很難檢測和攔截。研究人員建議用戶使用最小許可權原則，並加強對職員的信息安全意識培訓。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！