巴西已经成了世界上最大的恶意银行程序研发基地，巴西的地下犯罪集团是世界上最繁忙、最具创意的网络犯罪分子的大本营。不过，他们的网络攻击也带有浓厚的地方色彩，而且在很长一段时间里，他们将攻击局限于本地银行的客户。但现在已经到了它们大举扩大海外攻击和业务的时候了，目前这些恶意程序的目标是其他国家和银行。Tetrade是我们对由巴西攻击者创建、开发和传播的四大银行木马家族的称呼，现在这些家族已经遍及全球。其实，其实他们早在2011年就已经尝试在全球发起攻击了，只不过成功率很低。但现在的情况完全不同了，巴西银行业的木马已经有了很大的技术进步，黑客采用绕过检测的技术，创建高度模块化和混淆的恶意软件，并使用非常复杂的执行流程，这使得分析它们成为一个痛苦而棘手的过程。

至少从2000年开始，巴西的恶意银行程序就开始大量出现，巧合的是在这一时期巴西的网络银行业务也开始蓬勃发展。尽管银行业早就采用了旨在保护客户的技术，并部署了插件、令牌、电子令牌、双因素身份验证，CHIP和PIN信用卡以及其他保护方法，但欺诈行为仍在不断蔓延，因为巴西仍缺乏适当的立法来惩治网络犯罪分子。

本文旨在深入了解这四个银行木马家族：Guildma，Javali，Melcoz和Grandoreiro，随着它们向海外扩展，不仅针对巴西，而且针对更广泛的拉丁美洲和欧洲的用户。

Guildma的攻击过程

至少从2015年开始，Guildma恶意软件就一直处于活动状态，当时它专门针对巴西的银行用户。从那时起，它一直在不断更新，为它的攻击增加了新的目标，设置新的功能和隐蔽性，并将其攻击指向了拉丁美洲的其他国家。攻击背后的组织对执行复杂执行流程的合法工具显示出了丰富的技能和经验，他们假装将自己隐藏在主机系统中，并阻止自动分析系统跟踪其活动。

最近，有研究人员在野外发现了一个新版本，它滥用NTFS替代数据流(广告)来存储执行过程中下载的恶意有效载荷的内容。该恶意软件是高度模块化的，具有非常复杂的执行流程。该组织使用的主要攻击媒介是发送带有附件的压缩格式的恶意文件。文件类型从VBS到LNK不等；最近的活动开始附加HTML文件，该文件执行Java脚本以下载恶意文件。

除了使用process hollowing，非现场二进制文件（LOLBin）和NTFS备用数据流来存储来自云托管服务的下载的有效载荷外，该恶意软件还依赖于反调试，反虚拟化和反仿真技巧。例如CloudFlare的Workers，Amazon AWS以及流行的网站（例如YouTube和Facebook），它们在其中存储C2信息。

从LNK到完整的银行后门的演变

Guildma的传播很大程度上依赖于包含压缩格式的恶意文件的电子邮件附件，并附在电子邮件正文中。文件类型从Visual Basic脚本到LNK各不相同，大多数钓鱼信息模仿的是业务请求、通过快递服务发送的包裹或任何其他常规企业主题，包括COVID-19大流行主题，来诱使用户打开。

购买酒精胶发票：Guildma诱骗受害者的技巧

我们观察到，在2019年11月初，感染链又增加了一层。攻击者没有将压缩文件直接附加到电子邮件正文，而是附加了HTML文件，该HTML文件执行用于下载文件的Javascript。

为了下载压缩的LNK文件而执行的Javascript

为了下载额外的模块，该恶意软件使用BITSAdmin工具，该组织多年来一直依赖该工具来避免被发现，因为这是一个来自Windows操作系统的白名单工具。到2019年9月底，我们开始看到一个新版的Guildma恶意软件正在传播，它使用了一种新技术，将下载的有效载荷存储在NTFS替代数据流中，以隐藏它们在系统中的存在。

c:\windows\system32\cmd.exe /c type “c:\users\public\Libraries\radm\koddsuffyi.gif” > “c:\users\public\Libraries\radm\desktop.ini:koddsuffyi.gif” && erase “c:\users\public\Libraries\radm\koddsuffyi.gif”

下载的有效载荷存储在desktop.ini的攻击活动中

使用广告有助于隐藏系统中的文件，因为它不会出现在资源管理器中。要查看备用数据，可以使用“DIR”命令，并添加开关“/ R”，这是专门用于显示备用数据流的。

存储在desktop.ini的广告数据中的有效载荷

隐藏其他模块后，恶意软件将通过使用DLL搜索顺序劫持来启动自身。我们已经观察到Guildma在此步骤中使用的各种过程。在此版本的恶意软件中，它使用与Internet Explorer相关的ExtExport.exe。如上图所示，将要加载的库是连接先前下载的两个文件（

加载程序使用的一些反调试/反仿真技术

这个阶段检查调试工具、虚拟环境、沙箱通常使用的已知Windows产品ID、常用用户名和某些磁盘序列号，它们很可能与先前检测到的分析人员环境相关联。如果未检测到类似情况，则该恶意软件将解密第三阶段，并使用恶意软件开发者常用的process hollowing技术将其执行。。在这个版本中，有效载荷使用与以前版本相同的基于XOR的算法进行加密，但是在最新版本中，有效载荷使用不同的密钥进行了两次加密。

文件内容使用不同的密钥加密两次

为了执行其他模块，恶意软件使用process hollowing技术将恶意载荷隐藏在列入白名单的进程（例如svchost.exe）中。有效载荷在执行时会加密存储在文件系统中，并在内存中解密。

安装在系统中的最终有效载荷将监控用户活动，例如打开的网站和运行应用程序，并检查它们是否在目标列表中。当检测到目标时，将执行该模块，使犯罪分子可以控制银行交易。

该模块允许罪犯执行某些非常特定的银行业务，例如：

· 通过使用类似VNC的系统完全控制页面导航；

· 切换屏幕覆盖；

· 请求短信令牌；

· 二维码验证；

· 请求交易。

攻击者基本上可以通过使用受害者的电脑进行任何金融交易，同时避免使用可以检测可疑设备发起的银行交易的反欺诈系统。

YouTube和Facebook的 C2

完成所有加载步骤后，恶意软件将在受感染的系统中运行。它将监控系统，与C2服务器通信并按要求加载其他模块。在最新版本中，它开始以加密格式在YouTube和Facebook页面上存储C2信息。

YouTube页面上托管的C2信息

2020年发现的较新版本的Guildma正在使用自动化过程来生成数千个每日URL，其中大部分都在滥用通用TLD。我们的系统每天捕获200多个不同的URL，例如：

Guildma的一些URL，用于下载恶意软件

我们的监测表明对Guildma的检测非常普遍。

Guildma在全球地传播

可以在代码中看到Guildma的预期目标：该恶意软件能够窃取居住在智利、乌拉圭、秘鲁、厄瓜多尔、哥伦比亚、中国、欧洲，当然还有巴西的银行客户的数据。但是，该代码仅在Guildma的一个版本中找到，并且尚未在任何较新的版本中实现。

来自Guildma的代码：可能的目标国家

Javali

Javali的攻击目标是说葡萄牙语和西班牙语的国家，自2017年11月开始活跃，主要面向巴西和墨西哥金融机构的客户。Javali使用多级恶意软件，并通过钓鱼邮件将其初始有效载荷作为附件或链接到某个网站。这些电子邮件包括一个MSI(微软安装程序)文件，其中嵌入了Visual Basic脚本，可以从远程C2下载最终的恶意有效载荷，它还使用DLL sideload模式和多层混淆处理，以向分析人员和安全解决方案隐藏其恶意活动。

初始的Microsoft安装程序下载程序包含一个触发Visual Basic脚本的嵌入式自定义操作，该脚本连接到远程服务器并检索恶意软件的第二阶段。

使用MSI的“CustomAction”事件触发下载器VBS的执行

下载的ZIP文件包包含几个文件和一个恶意载荷，该载荷能够从受害者那里窃取财务信息。解压缩的程序包通常包含大量文件，包括合法但易受DLL sideload模式加载影响的可执行文件。

典型的Javali .ZIP软件包的内容，包括602 MB的DLL文件

在这种情况下将使用的合法DLL的大小约为600 KB，但是在这里，我们有一个超过600 MB的模糊库。除此之外，文件大小的限制将阻止上传到像VirusTotal这样的多扫描器。一旦所有的空部分都从库中移除，最终的有效载荷是27.5 MB的二进制文件……

对所有内容进行模糊处理后，我们可以看到恶意软件所针对的URL和银行名称。

混淆之后的Javali：针对墨西哥银行发起攻击

恶意软件的GDocs处理

Gdocs记事本是一款可以和Google文档实现同步的记事本软件.功能特点:离线操作;双向同步;可查找记事;多语言支持.适用机型:索爱X10| CS8;多普达A6288| A6188| A3288;三星T939| Spica| i7500| Galaxy| Bigfoot;飞利浦V900| V808;LGGW880| GW620;联想O1E| O1;戴尔Mini3i;HTC宏达Lancaster| G4(Tattoo)| G3(Hero)| G2(Magic)| G1(Dream)| Droid。

一旦库被其代码中实现的触发事件之一调用，它将从共享的Google文档中读取配置文件。如果无法连接到该地址，则使用硬编码的地址。

存储在共享谷歌文档中的配置设置

原始配置如下：

由于明显的原因，主机信息被混淆了。Javali采用了一个名为IndyProject的第三方库来与C2进行通信。在最近的活动中，它的运营商也开始使用YouTube来托管C2信息，就像Guildma所做的那样。

通过对库代码的深入分析，我们可以看到一些示例中的目标列表。根据分析的样本，比特币(Bittrex)等加密货币网站或支付解决方案(Mercado Pago，拉丁美洲一家非常受欢迎的零售商)也成为了目标。为了从之前列出的所有网站中捕获登录凭据，Javali会监控进程以查找打开的浏览器或自定义银行应用程序。受监控的最常见的Web浏览器是Mozilla Firefox，Google Chrome，Internet Explorer和Microsoft Edge。

受害者分布主要集中在巴西，尽管最近的网络钓鱼电子邮件显示出对墨西哥的浓厚兴趣。

Javali正在将目标对准巴西和墨西哥

Javali使用白名单和签名的二进制文件，微软安装文件和DLL劫持大批感染受害者，所有同时针对他们的努力，按国家。这是通过控制发送和发送钓鱼邮件的方式来实现的，这些邮件只发送给组织感兴趣的顶级域名，我们可以预期主要在拉丁美洲范围内进行扩展。

下一篇文章，我们将接着介绍Melcoz 和Grandoreiro银行木马家族。

本文翻译自：https://securelist.com/the-tetrade-brazilian-banking-malware/97779/如若转载，请注明原文地址：