原標題：IBM剖析“螢幕覆蓋”惡意軟體如何在巴西網路金融領域興風作浪

近年來，“螢幕覆蓋（Overlay）”惡意軟體開始越來越頻繁地出現，但通常都不會太複雜。不過，最近出現在巴西網路金融領域的一種“螢幕覆蓋”惡意軟體則顯得有一些不同。首先，它使用了並不常見的動態連結庫（DLL）劫持技術。另外，該惡意軟體的運營者所關注的不僅僅是銀行，並且還對竊取使用者的加密貨幣交易賬戶表現出了興趣，這很可能與加密貨幣的普及以及價值上升有關。

惡意軟體通過遠端會話感染使用者

IBM X-Force團隊一直研究持續監控巴西的網路安全威脅發展態勢。在最近的一次分析中，X-Force團隊觀察到一個種新型“螢幕覆蓋”惡意軟體感染了該國使用者。

“螢幕覆蓋”惡意軟體在針對巴西使用者的網路金融欺詐案例中很常見，但這種新型惡意軟體首次使用了DLL劫持技術來遠端控制受感染的裝置，並將其惡意程式碼載入到免費防毒軟體的合法二進位制檔案中。

該惡意軟體是採用Delphi編寫的，其中包含會在受害者驗證網銀會話時出現的螢幕覆蓋影象。值得一提的是，大多數針對巴西的惡意軟體都是採用這種程式語言編寫的。這些螢幕覆蓋影象在外觀上看上去和目標網銀介面幾乎完全相同，旨在竊取受害者提交的個人資訊和雙因素身份驗證（2FA）。

對加密貨幣交易賬戶表現出興趣

從最近的惡意軟體活動來看，加密貨幣交易賬戶正在變得比傳統網銀賬戶更受歡迎。對於巴西的網路金融欺詐而言，趨勢同樣如此。

就拿上述的新型“螢幕覆蓋”惡意軟體來說，它就將加密貨幣交易平臺設定為了目標。攻擊的方法類似於用來攻擊網銀使用者的方法：通過竊取憑證來接管受害者的帳戶，並將資金轉移到網路犯罪分子的帳戶中。

典型的惡意軟體感染流程

對該“螢幕覆蓋”惡意軟體感染流程的分析表明，在使用者被誘騙以下載並開啟自認為是正規的發票檔案之後，就會遭到感染。發票檔案是一個ZIP壓縮檔案，其中包含最終會感染使用者裝置的惡意指令碼。下面是對典型感染流程的簡要說明：

1. 受害者通常使用搜索引擎來查詢服務提供商的網站，以獲取發票並支付費用。但出現在搜尋頁面上的第一個結果並不是真正的服務提供商的網站，而是攻擊者通過某些手段提升搜尋排名後的惡意頁面，旨在竊取受害者的資訊。
2. 受害者會在毫不知情的情況下下載了一個惡意LNK檔案（Windows快捷方式檔案），此檔案在上述ZIP壓縮檔案中，聲稱來自巴西交通部DETRAN。
3. LNK檔案包含一個命令，該命令將從由攻擊者控制的遠端伺服器下載一個惡意Visual Basic（VBS）指令碼，並使用合法的Windows程式certutil執行它。
4. 惡意VBS指令碼將從遠端伺服器下載另一個ZIP壓縮檔案，它包含惡意軟體的一個惡意DLL以及一個免費防毒軟體的合法二進位制檔案（用於隱藏惡意DLL）。
5. VBS指令碼執行惡意軟體，感染裝置。
6. 感染成功後，惡意軟體使用DLL劫持技術會將惡意DLL載入到上述免費防毒軟體的合法二進位制檔案中。這種技術有助於惡意軟體繞過安全檢測。
7. 接下來，惡意軟體將監視受害者的瀏覽器，並在受害者瀏覽目標銀行網站或加密貨幣交易平臺時採取行動。
8. 惡意DLL元件為惡意軟體提供了遠端控制功能。

惡意軟體包含大量螢幕覆蓋影象

如上所述，銀行已經不再是網路犯罪分子的唯一目標，他們同樣對竊取受害者的加密貨幣表現出興趣。

為實現這一目標，攻擊者建立了大量的螢幕覆蓋影象來匹配巴西使用者使用的平臺。在每一種情況下，攻擊者都會提示使用者驗證自己的電子郵箱地址和身份，以此來竊取資訊。

圖1：螢幕覆蓋影象要求受害者提交有關其身份的資訊

圖2：螢幕覆蓋影象要求受害者提交令牌號

用於竊取雙因素身份驗證（2FA）資訊的螢幕覆蓋圖提供了與目標平臺相似的驗證方式，包括來自電子郵箱和社交帳戶的單點登入（SSO）：

圖3. 螢幕覆蓋影象要求受害者使用電子郵箱/社交帳戶進行SSO身份驗證

使用者應該如何應對網路金融犯罪

在巴西，“螢幕覆蓋”惡意軟體是網路犯罪分子攻擊網銀（以及加密貨幣交易平臺）使用者的主要工具之一。由於此類使用者的基數很大，因此感染率可能很高。接受長期、持續的安全培訓，以及安裝實用的防毒軟體，這些都有助於使用者防禦此類惡意軟體，從而降低受感染風險。