巴西用户是一种名为CHAVECLOAK的新型银行木马的目标,该木马通过带有 PDF 附件的网络钓鱼电子邮件进行传播。
Fortinet FortiGuard 实验室研究员 Cara Lin表示:“这种复杂的攻击涉及 PDF 下载 ZIP 文件,然后利用 DLL 侧面加载技术来执行最终的恶意软件。 ”
攻击链涉及使用以合同为主题的 DocuSign 诱饵来诱骗用户打开包含用于阅读和签署文档的按钮的 PDF 文件。
实际上,单击该按钮会导致从使用 Goo.su URL 缩短服务缩短的远程链接检索安装程序文件。
安装程序中存在一个名为“Lightshot.exe”的可执行文件,它利用 DLL 侧面加载来加载“Lightshot.dll”,这是一种有助于窃取敏感信息的 CHAVECLOAK 恶意软件。
这包括收集系统元数据并运行检查以确定受感染的计算机是否位于巴西,如果是,则定期监视前台窗口以将其与银行相关字符串的预定义列表进行比较。
如果匹配,则与命令和控制 (C2) 服务器建立连接,并继续收集各种信息并将其渗透到服务器上的不同端点(具体取决于金融机构)。
林说:“该恶意软件促进了窃取受害者凭据的各种行动,例如允许操作员阻止受害者的屏幕、记录击键以及显示欺骗性的弹出窗口。”
“该恶意软件主动监控受害者对特定金融门户的访问,包括多家银行和 Mercado Bitcoin,其中包括传统银行和加密货币平台。”
Fortinet 表示,它还发现了 CHAVECLOAK 的 Delphi 变体,再次凸显了针对拉丁美洲的基于 Delphi 的恶意软件的流行。
Lin 总结道:“CHAVECLOAK 银行木马的出现凸显了针对金融部门(特别是巴西用户)的网络威胁不断变化的格局。”
调查结果出炉之际,针对英国、西班牙和意大利的移动银行欺诈活动正在进行,该活动需要使用短信钓鱼和语音钓鱼(即短信和语音网络钓鱼)策略来部署名为Copybara的 Android 恶意软件,其目的是向某个银行进行未经授权的银行转账。由钱骡运营的银行账户网络。
Cleafy在上周发布的一份报告中表示:“TA(威胁行为者)通过一个名为‘机器人先生’的集中式网络面板,使用结构化方式管理所有正在进行的网络钓鱼活动,从而被抓获。”
“通过这个面板,助教可以根据自己的需求启用和管理多个网络钓鱼活动(针对不同的金融机构)。”
C2 框架还允许攻击者使用网络钓鱼工具包对不同的金融机构进行定制攻击,这些工具包旨在模仿目标实体的用户界面,同时还通过地理围栏和设备指纹识别采用反检测方法,以限制仅来自移动设备的连接。
该网络钓鱼工具包充当虚假登录页面,负责捕获零售银行客户凭证和电话号码,并将详细信息发送到 Telegram 群组。
该活动使用的一些恶意基础设施旨在传播 Copybara,该系统使用名为 JOKER RAT 的 C2 面板进行管理,该面板在实时地图上显示所有受感染的设备及其地理分布。
它还允许威胁行为者使用 VNC 模块与受感染的设备进行远程实时交互,此外还可以在银行应用程序顶部注入虚假覆盖层以窃取凭证、通过滥用 Android 的辅助服务来记录击键以及拦截 SMS 消息。
最重要的是,JOKER RAT 附带了一个 APK 构建器,可以自定义流氓应用程序的名称、包名称和图标。
“面板内的另一个可用功能是‘推送通知’,可能用于向受感染的设备发送虚假的推送通知,这些通知看起来像银行通知,以诱使用户打开银行的应用程序,从而使恶意软件可以窃取凭据”,Cleafy 研究人员 Francesco Iubatti 和 Federico Valentini 说道。
最近披露的TeaBot (又名 Anatsa)活动进一步证明了设备上欺诈 (ODF) 计划的日益复杂性,该活动以 PDF 阅读器应用程序为幌子成功渗透到 Google Play 商店。
“该应用程序充当植入程序,通过多个阶段促进 TeaBot 系列银行木马的下载,”Iubatti说。“在下载银行木马之前,植入程序会执行高级规避技术,包括混淆和文件删除,同时对受害国家/地区进行多次检查。”
发表评论
您还未登录,请先登录。
登录