IBM剖析“螢幕覆蓋”惡意軟體如何在巴西網路金融領域興風作浪
近年來,“螢幕覆蓋(Overlay)”惡意軟體開始越來越頻繁地出現,但通常都不會太複雜。不過,最近出現在巴西網路金融領域的一種“螢幕覆蓋”惡意軟體則顯得有一些不同。首先,它使用了並不常見的動態連結庫(DLL)劫持技術。另外,該惡意軟體的運營者所關注的不僅僅是銀行,並且還對竊取使用者的加密貨幣交易賬戶表現出了興趣,這很可能與加密貨幣的普及以及價值上升有關。
惡意軟體通過遠端會話感染使用者
IBM X-Force團隊一直研究持續監控巴西的網路安全威脅發展態勢。在最近的一次分析中,X-Force團隊觀察到一個種新型“螢幕覆蓋”惡意軟體感染了該國使用者。
“螢幕覆蓋”惡意軟體在針對巴西使用者的網路金融欺詐案例中很常見,但這種新型惡意軟體首次使用了DLL劫持技術來遠端控制受感染的裝置,並將其惡意程式碼載入到免費防毒軟體的合法二進位制檔案中。
該惡意軟體是採用Delphi編寫的,其中包含會在受害者驗證網銀會話時出現的螢幕覆蓋影象。值得一提的是,大多數針對巴西的惡意軟體都是採用這種程式語言編寫的。這些螢幕覆蓋影象在外觀上看上去和目標網銀介面幾乎完全相同,旨在竊取受害者提交的個人資訊和雙因素身份驗證(2FA)。
對加密貨幣交易賬戶表現出興趣
從最近的惡意軟體活動來看,加密貨幣交易賬戶正在變得比傳統網銀賬戶更受歡迎。對於巴西的網路金融欺詐而言,趨勢同樣如此。
就拿上述的新型“螢幕覆蓋”惡意軟體來說,它就將加密貨幣交易平臺設定為了目標。攻擊的方法類似於用來攻擊網銀使用者的方法:通過竊取憑證來接管受害者的帳戶,並將資金轉移到網路犯罪分子的帳戶中。
典型的惡意軟體感染流程
對該“螢幕覆蓋”惡意軟體感染流程的分析表明,在使用者被誘騙以下載並開啟自認為是正規的發票檔案之後,就會遭到感染。發票檔案是一個ZIP壓縮檔案,其中包含最終會感染使用者裝置的惡意指令碼。下面是對典型感染流程的簡要說明:
- 受害者通常使用搜索引擎來查詢服務提供商的網站,以獲取發票並支付費用。但出現在搜尋頁面上的第一個結果並不是真正的服務提供商的網站,而是攻擊者通過某些手段提升搜尋排名後的惡意頁面,旨在竊取受害者的資訊。
- 受害者會在毫不知情的情況下下載了一個惡意LNK檔案(Windows快捷方式檔案),此檔案在上述ZIP壓縮檔案中,聲稱來自巴西交通部DETRAN。
- LNK檔案包含一個命令,該命令將從由攻擊者控制的遠端伺服器下載一個惡意Visual Basic(VBS)指令碼,並使用合法的Windows程式certutil執行它。
- 惡意VBS指令碼將從遠端伺服器下載另一個ZIP壓縮檔案,它包含惡意軟體的一個惡意DLL以及一個免費防毒軟體的合法二進位制檔案(用於隱藏惡意DLL)。
- VBS指令碼執行惡意軟體,感染裝置。
- 感染成功後,惡意軟體使用DLL劫持技術會將惡意DLL載入到上述免費防毒軟體的合法二進位制檔案中。這種技術有助於惡意軟體繞過安全檢測。
- 接下來,惡意軟體將監視受害者的瀏覽器,並在受害者瀏覽目標銀行網站或加密貨幣交易平臺時採取行動。
- 惡意DLL元件為惡意軟體提供了遠端控制功能。
惡意軟體包含大量螢幕覆蓋影象
如上所述,銀行已經不再是網路犯罪分子的唯一目標,他們同樣對竊取受害者的加密貨幣表現出興趣。
為實現這一目標,攻擊者建立了大量的螢幕覆蓋影象來匹配巴西使用者使用的平臺。在每一種情況下,攻擊者都會提示使用者驗證自己的電子郵箱地址和身份,以此來竊取資訊。
圖1:螢幕覆蓋影象要求受害者提交有關其身份的資訊
圖2:螢幕覆蓋影象要求受害者提交令牌號
用於竊取雙因素身份驗證(2FA)資訊的螢幕覆蓋圖提供了與目標平臺相似的驗證方式,包括來自電子郵箱和社交帳戶的單點登入(SSO):
圖3. 螢幕覆蓋影象要求受害者使用電子郵箱/社交帳戶進行SSO身份驗證
使用者應該如何應對網路金融犯罪
在巴西,“螢幕覆蓋”惡意軟體是網路犯罪分子攻擊網銀(以及加密貨幣交易平臺)使用者的主要工具之一。由於此類使用者的基數很大,因此感染率可能很高。接受長期、持續的安全培訓,以及安裝實用的防毒軟體,這些都有助於使用者防禦此類惡意軟體,從而降低受感染風險。