信息化觀察網(wǎng)

近幾年，“屏幕覆蓋”惡意軟件在巴西網(wǎng)絡(luò)金融領(lǐng)域興風(fēng)作浪，嚴(yán)重阻礙了互聯(lián)網(wǎng)金融企業(yè)的發(fā)展。IBM X-Force團(tuán)隊(duì)一直研究持續(xù)監(jiān)控巴西的網(wǎng)絡(luò)安全威脅發(fā)展態(tài)勢(shì)，但最近出現(xiàn)在巴西網(wǎng)絡(luò)金融領(lǐng)域的一種“屏幕覆蓋”惡意軟件則顯與以往不同。

首先，它使用了并不常見(jiàn)的動(dòng)態(tài)鏈接庫(kù)（DLL）劫持技術(shù)。另外，該惡意軟件的運(yùn)營(yíng)者所關(guān)注的不僅僅是銀行，并且還對(duì)竊取用戶(hù)的加密貨幣交易賬戶(hù)表現(xiàn)出了興趣，這很可能與加密貨幣的普及以及價(jià)值上升有關(guān)。

惡意軟件通過(guò)遠(yuǎn)程會(huì)話(huà)感染用戶(hù)

IBM X-Force團(tuán)隊(duì)一直研究持續(xù)監(jiān)控巴西的網(wǎng)絡(luò)安全威脅發(fā)展態(tài)勢(shì)。在最近的一次分析中，X-Force團(tuán)隊(duì)觀察到一個(gè)種新型“屏幕覆蓋”惡意軟件感染了該國(guó)用戶(hù)。

“屏幕覆蓋”惡意軟件在針對(duì)巴西用戶(hù)的網(wǎng)絡(luò)金融欺詐案例中很常見(jiàn)，但這種新型惡意軟件首次使用了DLL劫持技術(shù)來(lái)遠(yuǎn)程控制受感染的設(shè)備，并將其惡意代碼加載到免費(fèi)殺毒軟件的合法二進(jìn)制文件中。

該惡意軟件是采用Delphi編寫(xiě)的，其中包含會(huì)在受害者驗(yàn)證網(wǎng)銀會(huì)話(huà)時(shí)出現(xiàn)的屏幕覆蓋圖像。值得一提的是，大多數(shù)針對(duì)巴西的惡意軟件都是采用這種編程語(yǔ)言編寫(xiě)的。這些屏幕覆蓋圖像在外觀上看上去和目標(biāo)網(wǎng)銀界面幾乎完全相同，旨在竊取受害者提交的個(gè)人信息和雙因素身份驗(yàn)證（2FA）。

對(duì)加密貨幣交易賬戶(hù)表現(xiàn)出興趣

從最近的惡意軟件活動(dòng)來(lái)看，加密貨幣交易賬戶(hù)正在變得比傳統(tǒng)網(wǎng)銀賬戶(hù)更受歡迎。對(duì)于巴西的網(wǎng)絡(luò)金融欺詐而言，趨勢(shì)同樣如此。

就拿上述的新型“屏幕覆蓋”惡意軟件來(lái)說(shuō)，它就將加密貨幣交易平臺(tái)設(shè)定為了目標(biāo)。攻擊的方法類(lèi)似于用來(lái)攻擊網(wǎng)銀用戶(hù)的方法：通過(guò)竊取憑證來(lái)接管受害者的帳戶(hù)，并將資金轉(zhuǎn)移到網(wǎng)絡(luò)犯罪分子的帳戶(hù)中。

典型的惡意軟件感染流程

對(duì)該“屏幕覆蓋”惡意軟件感染流程的分析表明，在用戶(hù)被誘騙以下載并打開(kāi)自認(rèn)為是正規(guī)的發(fā)票文件之后，就會(huì)遭到感染。發(fā)票文件是一個(gè)ZIP壓縮文件，其中包含最終會(huì)感染用戶(hù)設(shè)備的惡意腳本。下面是對(duì)典型感染流程的簡(jiǎn)要說(shuō)明：

受害者通常使用搜索引擎來(lái)查找服務(wù)提供商的網(wǎng)站，以獲取發(fā)票并支付費(fèi)用。但出現(xiàn)在搜索頁(yè)面上的第一個(gè)結(jié)果并不是真正的服務(wù)提供商的網(wǎng)站，而是攻擊者通過(guò)某些手段提升搜索排名后的惡意頁(yè)面，旨在竊取受害者的信息。

受害者會(huì)在毫不知情的情況下下載了一個(gè)惡意LNK文件（Windows快捷方式文件），此文件在上述ZIP壓縮文件中，聲稱(chēng)來(lái)自巴西交通部DETRAN。

LNK文件包含一個(gè)命令，該命令將從由攻擊者控制的遠(yuǎn)程服務(wù)器下載一個(gè)惡意Visual Basic（VBS）腳本，并使用合法的Windows程序certutil運(yùn)行它。

惡意VBS腳本將從遠(yuǎn)程服務(wù)器下載另一個(gè)ZIP壓縮文件，它包含惡意軟件的一個(gè)惡意DLL以及一個(gè)免費(fèi)殺毒軟件的合法二進(jìn)制文件（用于隱藏惡意DLL）。

VBS腳本執(zhí)行惡意軟件，感染設(shè)備。

感染成功后，惡意軟件使用DLL劫持技術(shù)會(huì)將惡意DLL加載到上述免費(fèi)殺毒軟件的合法二進(jìn)制文件中。這種技術(shù)有助于惡意軟件繞過(guò)安全檢測(cè)。

接下來(lái)，惡意軟件將監(jiān)視受害者的瀏覽器，并在受害者瀏覽目標(biāo)銀行網(wǎng)站或加密貨幣交易平臺(tái)時(shí)采取行動(dòng)。

惡意DLL組件為惡意軟件提供了遠(yuǎn)程控制功能。

惡意軟件包含大量屏幕覆蓋圖像

如上所述，銀行已經(jīng)不再是網(wǎng)絡(luò)犯罪分子的唯一目標(biāo)，他們同樣對(duì)竊取受害者的加密貨幣表現(xiàn)出興趣。

為實(shí)現(xiàn)這一目標(biāo)，攻擊者創(chuàng)建了大量的屏幕覆蓋圖像來(lái)匹配巴西用戶(hù)使用的平臺(tái)。在每一種情況下，攻擊者都會(huì)提示用戶(hù)驗(yàn)證自己的電子郵箱地址和身份，以此來(lái)竊取信息。

圖1：屏幕覆蓋圖像要求受害者提交有關(guān)其身份的信息

圖2：屏幕覆蓋圖像要求受害者提交令牌號(hào)

用于竊取雙因素身份驗(yàn)證（2FA）信息的屏幕覆蓋圖提供了與目標(biāo)平臺(tái)相似的驗(yàn)證方式，包括來(lái)自電子郵箱和社交帳戶(hù)的單點(diǎn)登錄（SSO）：

圖3.屏幕覆蓋圖像要求受害者使用電子郵箱/社交帳戶(hù)進(jìn)行SSO身份驗(yàn)證

用戶(hù)應(yīng)該如何應(yīng)對(duì)網(wǎng)絡(luò)金融犯罪

在巴西，“屏幕覆蓋”惡意軟件是網(wǎng)絡(luò)犯罪分子攻擊網(wǎng)銀（以及加密貨幣交易平臺(tái)）用戶(hù)的主要工具之一。由于此類(lèi)用戶(hù)的基數(shù)很大，因此感染率可能很高。接受長(zhǎng)期、持續(xù)的安全培訓(xùn)，以及安裝實(shí)用的殺毒軟件，這些都有助于用戶(hù)防御此類(lèi)惡意軟件，從而降低受感染風(fēng)險(xiǎn)。

（原標(biāo)題：IBM剖析“屏幕覆蓋”惡意軟件如何在巴西網(wǎng)絡(luò)金融領(lǐng)域興風(fēng)作浪）