基于 Python 的 WhatsApp 蠕虫,向巴西设备传播 Eternidade 窃取器
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了一项新攻击活动的细节:攻击者结合社会工程学与 WhatsApp 劫持手段,向巴西用户分发一款名为 Eternidade Stealer 的德尔福(Delphi)语言银行木马。 Trustwave SpiderLabs 的研究人员纳撒尼尔・莫拉莱斯、约翰・巴斯马约尔和尼基塔・卡济米尔斯基在提交给《黑客新闻》的技术分析报告中表示:“该恶意软件利用互联网消息访问协议(IMAP)动态获取命令与控制(C2)服务器地址,方便威胁行为体更新其控制服务器。” “它通过 WhatsApp 蠕虫活动传播,目前攻击者已改用 Python 脚本 —— 取代了此前的 PowerShell 脚本 —— 来劫持 WhatsApp 并扩散恶意附件。” 此次发现紧随另一项名为 “Water Saci” 的攻击活动之后,后者同样以巴西用户为目标,通过一款名为 SORVEPOTEL 的 WhatsApp Web 蠕虫传播,进而植入.NET 银行木马 Maverick。该木马被认为是.NET 银行恶意软件 Coyote 的升级版。 Eternidade Stealer 攻击集群是一系列攻击活动的组成部分,这些活动利用 WhatsApp 在巴西的普及性,攻陷目标用户设备后,将这款即时通讯应用作为传播载体,对巴西机构发动大规模攻击。 攻击技术特点与地域针对性 另一个显著趋势是,针对拉丁美洲的威胁行为体仍偏好使用德尔福语言编写恶意软件。这不仅因为该语言技术效率高,还源于它曾在该地区的软件开发领域被广泛教授和使用。 攻击始于一个经过混淆处理的 Visual Basic 脚本,脚本中的注释主要以葡萄牙语编写。脚本执行后会释放一个批处理脚本,负责交付两个有效载荷,使感染链分化为两条: Python 脚本:通过 WhatsApp Web 以蠕虫方式传播恶意软件 MSI 安装程序:借助 AutoIt 脚本启动 Eternidade Stealer 这款 Python 脚本与 SORVEPOTEL 类似,会与远程服务器建立通信,并利用开源项目 WPPConnect 实现自动化操作 —— 在被劫持的 WhatsApp 账户中发送消息。它会收集受害者的完整联系人列表,同时过滤掉群组、企业联系人及广播列表。 随后,恶意软件会捕获每个联系人的 WhatsApp 手机号、姓名及是否为已保存联系人等信息,通过 HTTP POST 请求发送至攻击者控制的服务器。最终阶段,它会使用消息模板,填入基于时间的问候语和联系人姓名,向所有联系人发送恶意附件。 攻击的第二条链路从 MSI 安装程序释放多个有效载荷开始,其中包含一个 AutoIt 脚本。该脚本通过检测操作系统语言是否为巴西葡萄牙语,判断受感染设备是否位于巴西,若不满足则自动终止运行,体现出威胁行为体高度本地化的攻击目标。 恶意软件功能与控制机制 脚本随后会扫描运行进程和注册表项,确认是否存在安全软件,同时收集设备配置信息并发送至 C2 服务器。攻击的最终步骤是,恶意软件通过进程注入(process hollowing)技术,将 Eternidade Stealer 有效载荷注入 “svchost.exe” 进程。 作为一款德尔福语言编写的凭据窃取器,Eternidade 会持续扫描活动窗口和运行进程,查找与银行门户网站、支付服务及加密货币交易所和钱包相关的字符串,包括布拉德斯科银行、BTG 百达银行、MercadoPago 支付平台、Stripe 支付服务、币安、Coinbase、MetaMask 钱包、Trust Wallet 钱包等。 研究人员表示:“这种行为属于典型的银行木马或覆盖式窃取器战术 —— 恶意组件会保持休眠状态,直到受害者打开目标银行或钱包应用才被激活。这确保攻击仅在相关场景触发,且不会被普通用户或沙箱环境发现。” 一旦检测到匹配项,恶意软件会联系 C2 服务器,相关地址从一个terra.com[.] br 邮箱的收件箱中获取 —— 这与 Water Saci 近期采用的战术一致。这种方式让威胁行为体能够更新 C2 服务器、维持持久控制,同时规避检测和下架操作。若恶意软件无法使用硬编码凭据登录该邮箱,会启用嵌入在源代码中的备用 C2 地址。 与服务器成功建立连接后,恶意软件会等待接收指令并在受感染设备上执行,使攻击者能够记录键盘输入、捕获屏幕截图和窃取文件。部分关键指令如下: <|OK|>:收集系统信息 <|PING|>:监控用户活动并上报当前活跃窗口 <|PedidoSenhas|>:根据活跃窗口发送自定义覆盖界面,窃取凭据 攻击基础设施与全球影响 Trustwave 表示,对威胁行为体基础设施的分析发现了两个面板:一个用于管理重定向系统,另一个是登录面板,可能用于监控受感染设备。重定向系统包含日志,记录了访问总数及试图连接 C2 地址的被拦截次数。 该系统仅允许巴西和阿根廷的设备访问,被拦截的连接会被重定向至 “google [.] com/error”。面板统计数据显示,454 次访问中有 452 次因地理围栏限制被拦截,仅 2 次访问被导向攻击目标域名。 在 454 条通信记录中,196 条来自美国,其次是荷兰(37 条)、德国(32 条)、英国(23 条)、法国(19 条)和巴西(3 条)。Windows 操作系统占 115 条连接,面板数据显示还有来自 macOS(94 条)、Linux(45 条)和 Android(18 条)的连接。 Trustwave 指出:“尽管该恶意软件家族及传播载体主要针对巴西,但可能的运营范围和受害者覆盖范围却遍及全球。网络安全防御人员应警惕可疑的 WhatsApp 活动、意外的 MSI 安装程序或脚本执行行为,以及与该持续攻击活动相关的威胁指标。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
安卓木马 Herodotus 模拟人类输入习惯,精准绕过反欺诈系统
HackerNews 编译,转载请注明出处: 网络安全研究人员近日披露一款名为Herodotus的新型安卓银行木马细节。该恶意软件目前正活跃于意大利和巴西,专门实施设备接管攻击。 荷兰安全公司ThreatFabric在报告中指出:”Herodotus木马在执行设备接管攻击时,首次尝试模拟人类操作行为以绕过行为生物特征识别检测。”该木马于2025年9月7日在地下论坛作为恶意软件即服务进行推广,声称支持Android 9至16系统。 技术特征与传播手段 分析显示,虽然该木马并非直接由另一知名银行恶意软件Brokewell演化而来,但确实借鉴了其部分技术特征,包括相似的混淆技术,代码中甚至直接出现”BRKWL_JAVA”等Brokewell相关标识。 与其他安卓恶意软件一样,Herodotus通过滥用无障碍服务实现其目标。它通过短信钓鱼等社交工程手段,伪装成谷歌浏览器应用进行传播。一旦安装,便会利用无障碍功能进行屏幕交互、显示不透明覆盖界面隐藏恶意活动,并在金融应用上层显示虚假登录界面窃取凭证。 此外,该木马还能窃取短信验证码、截取屏幕显示内容、自主提升权限、获取锁屏PIN码或图案,并远程安装APK文件。 独特攻击手法:模拟人类行为 该木马的突出特点在于其人性化欺诈能力。具体而言,它能在执行远程操作时引入随机延迟,例如在设备上输入文本时。ThreatFabric解释称:”延迟时间设定在300-3000毫秒之间,这种文本输入间隔的随机化确实符合人类的输入习惯。通过刻意设置随机延迟,攻击者很可能试图规避仅依赖行为分析的反欺诈系统对机器输入速度的检测。” 研究人员还获得了该木马用于攻击美国、土耳其、英国、波兰的金融机构以及加密货币钱包和交易所的覆盖页面,表明其运营者正积极扩展攻击范围。 ThreatFabric强调:”该恶意软件处于活跃开发阶段,借鉴了Brokewell银行木马的长期技术积累,其设计初衷显然是为了在活跃会话中持续驻留,而非简单地窃取静态凭证实施账户接管。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Google Play下架 1900 万次安装量的恶意安卓应用
HackerNews 编译,转载请注明出处: Zscaler 旗下 ThreatLabs 团队在调查一波针对安卓设备的 Anatsa(Teabot)银行木马新感染浪潮时,发现 77 款恶意安卓应用在 Google Play 上被安装了超过 1900 万次,这些应用向用户传播多种恶意软件家族。 虽然大部分恶意应用(超过 66%)包含广告软件组件,但最常见的安卓恶意软件是 Joker,研究人员在近 25% 的分析应用中发现了它。安装到设备后,Joker 可以读取和发送短信、截屏、拨打电话、窃取通讯录、访问设备信息,并为用户订阅高级服务。 较小比例的应用程序包含伪装软件(maskware),该术语用于定义那些伪装成不会引起任何怀疑的合法应用的恶意软件。此类恶意软件可能表现为功能正常的合法应用,但会在后台执行恶意活动,例如窃取凭证、银行信息或其他敏感数据(位置、短信)。网络犯罪分子也可能利用伪装软件传播其他恶意软件。 Zscaler 研究人员还发现了一种名为 Harly 的 Joker 变种,它以一个表面合法的应用程序形式出现,但将恶意负载隐藏在代码深处,以在审核过程中规避检测。在 3 月的一份报告中,Human Security 研究人员称 Harly 可以隐藏在流行应用中,例如游戏、壁纸、手电筒和照片编辑器。 Anatsa 木马持续进化 据 Zscaler 称,最新版本的 Anatsa 银行木马进一步扩大了其目标范围,试图窃取数据的银行和加密货币应用数量从此前的 650 个增加到了 831 个。该恶意软件运营商使用一款名为“Document Reader – File Manager”(文档阅读器 – 文件管理器)的应用作为诱饵,该应用仅在安装后才下载恶意的 Anatsa 负载,以此规避谷歌的代码审查。 最新活动已从过去使用的远程 DEX 动态代码加载方式,转变为直接安装负载,从 JSON 文件中解包,然后将其删除。在规避检测方面,它使用畸形的 APK 文件来破坏静态分析,运行时基于 DES 的字符串解密,以及模拟环境检测。包名和哈希值也会定期更改。 在功能方面,Anatsa 滥用安卓系统的无障碍权限,自动授予自身广泛权限。它从服务器获取针对 831 多个应用的钓鱼页面,现已覆盖德国和韩国,同时还添加了键盘记录模块用于窃取通用数据。 在 ThreatFabric 于 7 月发现的另一波攻击之后,最新的 Anatsa 活动接踵而至。当时该木马伪装成 PDF 阅读器潜入 Google Play,下载量超过 5 万次。更早的 Anatsa 活动包括:2024 年 5 月的一次 PDF 和 QR 码阅读器攻击,感染 7 万台设备;2024 年 2 月的一次手机清理器和 PDF 攻击,获得 15 万次下载;以及 2023 年 3 月的一次 PDF 阅读器攻击,安装量达到 3 万次。 Google Play 上的恶意应用浪潮 除了此次发现的恶意 Anatsa 应用外,Zscaler 发现的大多数是广告软件家族,其次是“Joker”、“Harly”和各种伪装软件。 “ThreatLabz 发现 Google Play 商店上的广告软件应用数量急剧上升,同时还有诸如 Joker、Harly 以及 Anatsa 等银行木马类恶意软件,”Zscaler 研究员 Himanshu Sharma 解释道,“相比之下,像 Facestealer 和 Coper 这样的恶意软件家族数量则出现了明显下降。” 工具和个性化应用占用于传播这些恶意软件的诱饵的一半以上,因此这两类应用,连同娱乐、摄影和设计类应用,应被视为高风险类别。包括含有 Anatsa 木马的应用在内,这 77 款恶意应用在 Google Play 上的总下载量达到 1900 万次。 Zscaler 报告称,在其报告后,谷歌已从 Play 商店中移除了他们此次发现的所有恶意应用。安卓用户必须确保其设备上的 Play Protect 服务处于激活状态,以便标记恶意应用进行移除。若感染了 Anatsa 木马,则需采取额外步骤联系银行,以保护可能已被泄露的电子银行账户或凭证安全。 为尽量减少来自 Google Play 上恶意软件加载器的风险,请仅信任信誉良好的发布者,至少阅读几条用户评论,并且仅授予与应用核心功能直接相关的权限。 消息来源: bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Nexus:一款针对 450 个金融应用的新兴 Android 银行木马
来自Cleafy的网络安全公司专家警告说,一个新兴的安卓银行木马 Nexus,针对多达450个金融应用,被多个网络犯罪团在的攻击中使用。 3月初,威胁情报公司Cyble的研究人员首次分析了Nexus勒索软件。Nexus可通过恶意软件即服务(MaaS)订购,以每月3000美元的价格出租,自2023年1月起在地下论坛或通过私人渠道(如Telegram)进行推广。 然而,根据Cleafy的威胁情报与响应团队报告,早在2022年6月就检测到了第一批Nexus感染,比MaaS的公开广告早了几个月。专家认为,尽管有多个活动在野外积极使用Nexus木马,但Nexus木马仍处于发展的早期阶段。 在Cleafy发布的分析报告中写道:Nexus提供对银行门户网站和加密货币服务进行ATO攻击(账户接管)的所有主要功能,如凭证窃取和短信拦截。它还提供了一个针对450个金融应用程序的内置注入列表。 据观察,Nexus完全是从零开始编写的,但研究人员发现Nexus和SOVA银行木马之间有相似之处,后者于2021年8月出现在威胁领域。Nexus木马可以针对多个银行和加密货币,企图控制客户的账户。它依靠叠加攻击和键盘记录功能来获取客户的凭证。 该恶意软件还支持通过滥用安卓的可访问性服务,使用短信或谷歌认证器应用程序绕过双因素认证(2FA)的功能。同时,该安卓木马还支持自动更新机制。 那么它对安卓用户是否构成威胁?安全专家表示,根据从多个C2面板检索到的感染率,Nexus绝对是一个真正的威胁,它能够感染世界各地的数百台设备。因此我们不得不做好准备,防患于未然。 转自 Freebuf,原文链接:https://www.freebuf.com/news/361433.html 封面来源于网络,如有侵权请联系删除
快速清洁 APP 要慎用,银行木马可能藏身其中
Hackernews 编译,转载请注明出处: 一个新的安卓银行木马通过官方的 Google Play Store 分发,安装量超过50,000次,其目的是针对56家欧洲银行,从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph,据说它与另一个名为 Alien 的银行木马有很多相同部分,同时在功能方面也与其前身“截然不同”。 公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中,Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外,它具有一个非常详细和模块化的引擎,可以随意使用无障碍服务,这在未来可以提供非常先进的能力,如 ATS。” Alien,一个远程访问木马(RAT),具备通知嗅探和基于认证的2FA盗窃功能,在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起,发现了其他的Cerberus分支,包括2021年9月的 ERMAC。 跟 Alien 和 ERMAC 一样,Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序,欺骗不知情的受害者安装恶意软件,从而绕过谷歌 Play Store 的安全保护。 值得注意的是,去年11月,一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒,并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。 手机应用市场情报公司 Sensor Tower 的数据显示,“Fast Cleaner”在葡萄牙和西班牙最受欢迎,其软件包名为“ vizeeva.Fast.Cleaner”,目前仍可在应用商店购买。2022年1月底,“Fast Cleaner”首次出现在 Play Store 上。 此外,用户对该应用程序的评论还警告说,“该应用程序含有恶意软件”,并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件,除此之外,它还有一个自我保护系统,所以你不能卸载它。” Xenomorph 还使用了一种经典的策略,即引导受害者授予其无障碍服务特权,并滥用权限进行覆盖攻击,其中,恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕,以窃取凭证和其他个人信息。 此外,它还配备了通知拦截功能,可以提取通过 SMS 接收的双因素身份验证令牌,并获取已安装的应用程序列表,其结果将被提取到远程命令控制服务器。 研究人员表示: “ Xenomorph 的出现再次表明,黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快,犯罪分子开始采用更精细的开发实践来支持未来的更新。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
警告!新的 Android 银行木马从 112 个金融APP中窃取数据
安全研究人员发现了针对巴西,拉丁美洲和欧洲金融机构的银行木马“Tetrade”,四个月后,调查表明,攻击者扩大了策略,利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队(GReAT)的说法,总部位于巴西的威胁集团Guildma部署了“Ghimob”,这是一种Android银行木马,针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示,“Ghimob是您一种成熟间谍:一旦感染完成,黑客就可以远程访问受感染的设备,用受害者的智能手机完成欺诈交易,从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外,Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制,从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上,其功能与其他移动RAT十分相似,它通过隐藏应用程序中的图标来掩饰自己的存在,并滥用Android的辅助功能来获得持久性,禁用手动卸载并允许银行木马捕获击键信息,操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示:“即使用户有适当的屏幕锁定模式,Ghimob也能够记录下来,然后再解锁设备。” “当攻击者准备执行交易时,他们可以插入黑屏作为覆盖或以全屏方式打开某些网站,因此当用户查看该屏幕时,攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外,Ghimob的目标多达153个移动应用程序,其中112个是巴西的金融机构,其余的是德国,葡萄牙,秘鲁,巴拉圭,安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说:“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。” 消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
Cerberus 恶意软件团队解散,10 万美元拍卖源代码
据 Bleeping Computer 消息,由于开发团队的解散,Cerberus 银行木马的维护者正在拍卖整个项目,起价为 50,000 美元,最终或将以双倍的价格完成交易。拍卖包括从源代码到客户清单的所有内容、以及安装指南和使组件协同工作的脚本。 Cerberus 银行木马是一款专门针对安卓系统的恶意软件,首次出现于 2019 年 6 月。本月初,Cerberus 在 Google Play 商店中被发现,彼时其已经绕过了 Google 的应用程序保护措施。Cerberus 具有广泛的功能,能够欺骗设备上存在的银行服务通知,提示受害者输入登录凭证;并窃取双因素验证码,运行任何已安装的应用程序。 为了吸引潜在的竞标者,卖家在该帖子中声称,此 Android 恶意软件每月可产生 10,000 美元的利润。与 Cerberus 维护者达成协议的买方将获得恶意 APK 的源代码以及模块、管理面板和服务器。公告提到,Cerberus 的团队已经解散,无法提供 7×24 小时的技术支持,所以打算连同服务器一块卖掉,让其他人来进行运营。 同时,卖方还展示了 Cerberus 可用的所有功能: 对此,网络犯罪情报公司 Hudson Rock 的首席技术官 Alon Gal 则表示,像 Cerberus 这样的恶意软件的标价为 100,000 美元,很可能会吸引一些有能力维护和改进该项目的居心不良者。 (稿源:开源中国,封面源自网络。)
微软发警告:大规模 Emotet 正卷土重来,这次的目标是银行信息
据外媒报道,日前,微软发出警告,称大规模恶意软件运动正在目标对准终端用户的银行资料。微软指出,作为使用Emoter恶意软件新运动的一部分,大量带有数百个独特附件的电子邮件被发送给用户。据了解,Emotet银行木马最早是在2014年被安全研究人员发现的。 Emotet最初被设计成一个银行恶意软件,它试图潜入用户电脑并窃取其敏感和私人信息。该软件的最新版本则还增加了垃圾邮件和恶意软件发送服务,其中包括其他银行木马。 微软在报告中指出,该网络钓鱼活动已经沉默了数月,但最近却又卷土重来。新的运动则使用了长期的Emotet策略:带有链接的电子邮件或带有高度混淆的恶意宏的文件运行一个PowerShell脚本通过5个下载链接中下载有效负载。下载URL通常指向被攻击的网站,这正是Emotet的特点。 Emotet使用的功能可以帮助软件躲避来自一些反恶意软件产品的检测。Emotet使用类似蠕虫的功能来帮助其传播到其他连接的计算机上,而这有助于恶意软件的传播。这一功能使得美国国土安全部得出结论,Emotet是最昂贵、最具破坏性的恶意软件之一,它会影响到政府、私人部门、个人以及组织,每次清理都要花费超100万美元的费用。 (稿源:cnBeta,封面源自网络。)
TrickBot 银行木马传入我国,专门窃取国外银行登录凭据
感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/nh-j3Zv1DTVg_xkIsjlLMQ 一、背景 腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃,黑客在钓鱼文档中嵌入恶意VBA代码,宏代码通过创建和执行CMD脚本以及VBS脚本下载和传播银行木马TrickBot。监测数据显示,该木马已影响我国部分企业,中毒电脑系统信息及访问国外银行的登录信息会被窃取,受TrickBot银行木马影响较严重的地区为浙江,广东,北京等地。 TrickBot在2016年左右被发现,会在受害者通过浏览器访问在线银行时窃取网银信息,攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统,有国外研究者认为该组织已收集了2.5亿个电子邮箱。 TrickBot首次感染系统后,会安装计划任务“Ms visual extension”反复执行木马,然后将恶意代码注入Svchost.exe,下载多个加密的DLL模块,最终将injectdll32(64)注入浏览器进程,捕获与目标银行相关的HTTP请求并复制发送至C&C服务器。 TrickBot攻击流程 二、详细分析 当受害者打开恶意Word文档时,会显示如下图所示界面: 初次打开文档时,Office会提示是否允许宏执行,若选择允许,则文档界面中会提示一条告警消息,但是实际上后台VBA代码正在C:\Resources目录下创建5个后缀为.cmd的文件,然后通过CreateProcessA执行c:\Resources\BC4603BB450B14.cmd。 之后,BC4603BB450B14.cmd创建用于下载文件的VBS脚本pscolor.vbs, 并使用该脚本从https[:]//allpetsandpaws.com/DOYJIABZB.res或 http[:]//rygseminarios.com/egprod40.eof下载nas6.exe。 nas6.exe搜集当前系统CPUID序列号发送至https[:]//magnwnce.com/photo.png?id=,然后从http[:]//149.154.67.19/tin.exe下载Trickbot。 Trickbot重命名自身为“с그의길습을든意すスっジюл.EXE”,并拷贝到%ProgramData%和%Roaming%\swapper\目录下。重命名的文件名包含字母,韩文,中文,日文和保加利亚语,这会导致部分调试器无法加载该文件。 接着将木马安装为计划任务“Ms visual extension”,设置触发器在系统启动时木马执行一次,之后每隔11分钟执行一次。 定时任务触发后,taskeng.exe启动с그의길습을든意すスっジюл.EXE,然后将恶意代码注入子进程svchost.exe继续执行,进程树如下图所示。 TrickBot下载8个模块importDll64(或importDll32) ,injectDll64,mshareDll64,mwormDll64,networkDll64,pwgrab64,systeminfo64,tabDll64。同时下载所需配置文件存放到四个目录injectDll64_configs,networkDll64_configs,pwgrab64_configs,tabDll64_configs下。 systeminfo64负责收集受害者的系统信息,包括其Windows版本、CPU类型、RAM容量、用户帐户、已安装的软件和服务,不同信息字段以符号“aksgja8s8d8a8s97”进行分割并上传至服务器。 injectDll64最终能够将恶意代码注入Web浏览器(IE、Chrome和Firefox)从而窃取受害者的在线银行信息。被注入到svchost.exe执行时,injectDll64会枚举所有正在运行的进程,通过比较进程名来检查它是否是浏览器(包括“Chrome”、“IE”和“Firefox”浏览器)。 在选择一个进程之后,它创建一个命名管道(使用进程ID与一个常量字符串进行组合作为管道的名称),使用这个命名管道在svchost.exe和浏览器之间进行通信,以传输Sinj、dinj和dport的内容,之后InjectDll准备要注入到浏览器中的代码,并调用CreateRemoteThread执行注入。 TrickBot在一个线程中将银行信息(即Sinj、dinj和dpost的内容)传输到浏览器,之后在另一个线程中对WinInet和NSS3API的导出函数上设置钩子,从而利用注入的代码捕获来自浏览器的所有HTTP请求。 本地钩子函数能够使用银行信息对HTTP请求进行进一步的过滤,如果HTTP请求与目标银行匹配,则将该HTTP请求复制并发送到C&C服务器。 三、安全建议 中国国内在线银行系统普遍采用“U盾”来做登录认证、加密网银系统通信,TrickBot银行木马暂不能直接威胁国内网银资金安全,但对于国外银行系统的安全威胁却不容小视。腾讯安全专家建议用户采取以下安全措施,防止受害: 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs IP 149.154.67.19 181.129.104.139 170.238.117.187 Domain allpetsandpaws.com rygseminarios.com URL https[:]//allpetsandpaws.com/DOYJIABZB.res http[:]//rygseminarios.com/egprod40.eof http[:]//149.154.67.19/tin.exe http[:]//presifered.com/data3.php md5 c04f5dc534fa5b1acef3c08d9ab3f3cb 1c132ca1ec8b89977c0e3ee28763e3fc 参考链接: https://www.fortinet.com/blog/threat-research/deep-analysis-of-the-online-banking-botnet-trickbot.html https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/(原文已被删,快照可供参考)
黑客利用乌克兰会计软件开发商官网传播 Zeus 银行木马新变种
据外媒 1 月 6 日报道,黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium ( CFM )的官方网站散布恶意软件,分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取,且具有一定规模的传播范围。 此次攻击发生于 2017 年 8 月乌克兰独立日假期前后,乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ,用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此,攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件,这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器,也没有在早前的 Nyetya 协议中看到相同级别的访问。 在这次攻击中,恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开,Javascript 就会被执行,并导致系统检索恶意软件的 playload,运行后 Zeus 银行木马病毒将会感染系统。 思科 Talos 统计:受Zeus银行木马新变种影响的地区 自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来,其他威胁行为者从恶意代码中获得灵感,将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用: 一旦在系统上执行,恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下,那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项,以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染,恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。 研究人员表示,大多数被恶意软件感染的系统都位于乌克兰和美国,乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的 ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。 研究人员称越来越多的攻击者试图滥用受信任的软件制造商,并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境,攻击者正在不断改进其攻击方法。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。