FortiGuard Labs 最近发现一个威胁行为者利用恶意 PDF 文件来传播银行木马 CHAVECLOAK。这种复杂的攻击涉及 PDF 下载 ZIP 文件,然后利用 DLL 侧面加载技术来执行最终的恶意软件。值得注意的是,CHAVECLOAK 专门针对巴西用户而设计,旨在窃取与金融活动相关的敏感信息。
图 1 显示了该网络威胁的详细流程。
图1:攻击流程
在南美网络威胁领域,银行木马采用一系列策略,例如网络钓鱼电子邮件、恶意附件和浏览器操纵。著名的例子包括 Casbaneiro(Metamorfo/Ponteiro)、Guildma、Mekotio 和 Grandoreiro。这些木马专门非法获取网上银行凭证和个人数据,对巴西和墨西哥等国家的用户构成重大威胁。CHAVECLOAK 的命令和控制 (C2) 服务器遥测如图 2 所示。在本博客中,我们将详细介绍该恶意软件的详细信息。
图 2:遥测
初始矢量 PDF
如图 3 所示,PDF 中的索赔包含与合同相关的文档,以及用葡萄牙语编写的说明。它引诱受害者点击按钮,以便他们阅读并签署所附文件。然而,恶意下载器链接被谨慎地嵌入到流对象中,如图 4 所示,它揭示了解码后的 URL。该 URL 通过免费链接缩短服务“Goo.su”进行处理,最终导致重定向至 hxxps://webattach.mail.yandex.net/message_part_real/NotaFiscalEsdeletronicasufactrub66667kujhdfdjrWEWGFG09t5H6854JHGJUUR[.]zip 以下载 ZIP 文件。解压后,该文件会生成 MSI 文件“NotafiscalGFGJKHKHGUURTURTF345.msi”。
图3:恶意PDF文件
图 4:嵌入的 URL
MSI 安装程序
解压MSI安装程序后,我们发现了多个与不同语言设置相关的TXT文件、一个合法的执行文件和一个名为“Lightshot.dll”的恶意DLL。值得注意的是,该 DLL 文件的修改日期比安装程序中所有其他文件的修改日期更新,进一步强调了其不寻常的性质。
图5:解压后的MSI文件
检查 MSI 安装程序会显示其完整配置,该配置是用葡萄牙语编写的。它执行文件“Lightshot.exe”,提取文件并将其存放在“%AppData%Skillbrainslightshot5.5.0.7”处,如图 6 所示。
然后,文件“Lightshot.exe”部署 DLL 侧载技术来激活恶意 DLL“Lightshot.dll”的执行。这种技术可以让合法的可执行文件谨慎地加载并运行恶意代码,从而促进数据盗窃等未经授权的活动。“Lightshot.dll”进行的行为涉及隐蔽和有害的操作,包括未经授权获取敏感信息。DLL 旁加载允许恶意软件在不被发现的情况下利用合法进程来达到邪恶目的,从而构成重大安全威胁。
图 6:MSI 文件中的“ActionText”和提取的文件夹
图7:加载恶意DLL“Lightshot.dll”
CHAVECLOAK 银行木马“Lightshot.dll”
最初,该过程调用“GetVolumeInformationW”来收集有关文件系统和与指定根目录相关的关联卷的详细信息。它利用获得的十六进制值在“%AppData%[HEX ID]lIG.log”中生成日志文件。接下来,它将一个名为“Lightshot”的注册表值添加到“HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun”中,确保用户登录时自动执行“Lightshot.exe”程序。日志记录和持久化完成后,它会向 hxxp://64[.]225[.]32[.]24/shn/inspecionando.php 发送 HTTP 请求。如果地理检查确认受害者位于巴西,它会将数据记录在服务器上,可通过路径“clients.php”访问,如图 8 所示。
图 8:签到受害者列表
然后,它使用 API“GetForegroundWindow”和“GetWindowTextW”定期监视前台窗口。在识别窗口并根据预定义的银行相关字符串列表确认其名称后,恶意软件将与其命令和控制 (C&C) 服务器建立通信。
该恶意软件促进了窃取受害者凭据的各种操作,例如允许操作员阻止受害者的屏幕、记录击键以及显示欺骗性弹出窗口,如图 10 所示。该恶意软件主动监控受害者对特定金融门户的访问,包括多家银行和 Mercado Bitcoin,其中包括传统银行和加密货币平台。
图 9:比较窗口的文本和目标字符串
图10:欺骗性弹出窗口
获取用户输入的登录数据后,恶意软件会启动与其位于 hxxp://comunidadebet20102[.]hopto[.]org 的命令和控制 (C2) 服务器的通信。根据与被盗数据相关的银行,它将信息上传到不同的路径:Mercado Bitcoin 的“04/M/”。
图11:上传窃取数据的汇编代码
然后,它会传输包含基本系统详细信息的 POST 请求,并在“InfoDados”参数中配置帐户信息,如图 12 所示。
图 12:窃取数据的 HTTP POST 请求
旧版本
此外,我们还从签到网站获得了 CHAVECLOAK 的旧版本。它的过程与前一个不同,因为 ZIP 文件包含一个 Delphi 可执行文件,该文件在 RCData 部分中嵌入了最终的有效负载。
图 13:TFORM1 中的有效负载
它首先检索系统信息以建立一个新文件夹,并将有效负载存储在“C:Program Files (x86)Editor-GH-[HEX ID]Editor-[HEX ID].exe”。同时,它创建一个日志文件,建立持久性,并利用 PowerShell 命令“Add-MpPreference –ExclusionPath”从 Windows Defender 扫描中排除路径“Editor-GH-[HEX ID]”。随后,它向 hxxp://64[.]225[.]32[.]24/desktop/inspecionando.php 发送签入请求。值得注意的是,该变体似乎是早期版本,从受害者的入住日期来看,该变体从 2023 年开始。
图 14:添加注册表
图 15:签到用户列表
它还主动观察用户行为,捕获前窗口文本,并从指定的银行和比特币登录页面获取个人身份信息,包括姓名、密码和击键。然后,它将窃取的数据传输到命令和控制(C2)服务器(hxxp://mariashow[.]ddns[.]net/dtp/cnx.php)。
图16:发送账户信息的HTTP数据
结论
CHAVECLOAK 银行木马的出现凸显了针对金融部门(特别是巴西用户)的网络威胁不断变化的格局。它利用复杂的技术,包括恶意 PDF、ZIP 文件下载、DLL 侧面加载和欺骗性弹出窗口,加入了主要针对南美洲的著名银行木马行列。CHAVECLOAK 采用葡萄牙语设置,表明针对该地区的战略方针,并积极监控受害者与金融门户的互动。CHAVECLOAK 体现了当代银行木马的复杂性,需要持续保持警惕并采取积极主动的网络安全措施,以防范南美金融领域不断变化的威胁。
国际奥委会
知识产权
64[.]225[.]32[.]24
网址
hxxps://webattach.mail.yandex.net/message_part_real/NotaFiscalEsdeletronicasufactrub66667kujhdfdjrWEWGFG09t5H6854JHGJUUR[.]zip
hxxps://goo[.]su/FTD9owO
主机名
mariashow[.]ddns[.]net
comunidadebet20102[.]hopto[.]org
文件:
51512659f639e2b6e492bba8f956689ac08f792057753705bf4b9273472c72c4
48c9423591ec345fc70f31ba46755b5d225d78049cfb6433a3cb86b4ebb5a028
4ab3024e7660892ce6e8ba2c6366193752f9c0b26beedca05c57dcb684703006
131d2aa44782c8100c563cd5febf49fcb4d26952d7e6e2ef22f805664686ffff
8b39baec4b955e8dfa585d54263fd84fea41a46554621ee46b769a706f6f965c
634542fdd6581dd68b88b994bc2291bf41c60375b21620225a927de35b5620f9
2ca1b23be99b6d46ce1bbd7ed16ea62c900802d8efff1d206bac691342678e55
参考链接: https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil
图片来源网络目标可联系删除