北京
“该活动利用DLL侧加载技术,滥用四种不同软件,目标是葡萄牙的银行。”WatchGuard研究员Euler Neto在分析目前活跃的Grandoreiro银行木马新变种时,这样描述攻击者正在施展的手段。这种盗取银行凭证的恶意软件,从2016年至今不断演变,现在又把主意打到了更隐蔽的通信协议上。
Neto这番话背后,是安全厂商WatchGuard与ESET共同揭开的一幅攻击图景:拉丁美洲和欧洲近期分别遭到两拨银行木马的轮番冲击,Windows设备吃着Grandoreiro,Android设备则被BTMOB远程访问木马盯上。西班牙、葡萄牙、墨西哥的企业,以及巴西的移动用户,都成为了这轮攻击的收割目标。Grandoreiro虽然早已臭名昭著——覆盖45个国家和地区数千家金融机构,靠钓鱼邮件里的可疑链接传播——但这一次,它的伪装和通信手法让人更加头疼。
攻击者是怎么绕开监控的?他们把目光投向日常的Web会议流量。WatchGuard发现,最新活动中用于DLL侧加载的恶意DLL由Delphi 11编写,其中mingwm10.dll和libwebp.dll这两个文件,内置了WebSocket与实时通信库sgcWebSockets,专为P2P和WebRTC通信准备。更具体点,这些DLL用上了STUN协议——一种帮助NAT背后设备发现自身公网IP和端口的协议,以此打通点对点连接。用Web会议流量传输恶意指令的好处是,这类流量本身嘈杂、很难被精确监控,而WebRTC又是所有主流视频会议平台都在用的东西,藏在里面就像把一滴污水倒进河流。
同一拨攻击还动用了另两个DLL:libffi-6.dll和libpng15.dll,它们用ICE协议替代STUN实现类似目的。这些文件里直接写着一长串在葡萄牙运营的银行和金融机构名称,包括Abanca、葡萄牙银行、BBVA PT、Caixa Geral Depositos和Santander等,连数字银行Revolut和Wise也上了名单。这等于把攻击目标白纸黑字刻进了代码里。
让安全人员困惑的,还有攻击者对抗分析的韧性。虽然巴西执法部门在2024年初对Grandoreiro的基础设施进行过打击和逮捕,但这个恶意软件家族非但没有消失,反而扩大了目标范围,还新增了验证码检测功能,让自动分析环境更难得手。WatchGuard发现的另一个平行活动里,钓鱼邮件会推送一个托管在Mediafire的ZIP压缩包,里面是一项混淆过的VBS脚本。脚本会拉起一个可执行文件,弹出“更新Adobe Reader”的提示,诱导用户点击按钮。一旦点击,一连串反检测、反分析检查立刻触发,只有通过关卡的机器才会被注入最终的银行信息窃取载荷。这套手法,与卡巴斯基在2023年10月报告中描述的上一次Grandoreiro活动有不少重叠。
从钓鱼邮件里刻意躲藏的链接,到嵌套在WebRTC连接里的秘密通道,再到冒充软件更新的障眼法,Grandoreiro的每一次版本迭代,都在把窃密行为包装得更像正常操作。当关键基础设施与新型通信协议被一齐利用时,防守的一方还能不能只靠流量特征揪出这些深藏的贼?这恐怕是留给银行和用户共同的问号。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
