执行摘要
2023 年,账户接管 (ATO) 被确认为对网上银行客户危害最大的欺诈类型之一。在 Cleafy,我们发现90% 的欺诈企图仍然是通过账户接管进行的,我们预测这一数字到 2024 年将保持不变。银行和金融机构一直是 ATO 攻击的最优先目标,因为网络犯罪分子的目标是从他们的非法活动中立即获得经济利益。
设备上欺诈 (ODF)是一个复杂且日益增长的威胁。这种欺诈行为给银行业的反欺诈团队带来了多方面的挑战,因为它涉及直接通过受害者的设备发起的欺诈活动。与传统的欺诈方法不同,ODF 减少了浏览会话期间显着风险指标的出现,使得传统的反欺诈对策在很大程度上无效。
这种新兴威胁是通过超过 80% 的现代 Android 银行木马(例如 Vultur、TeaBot 和 SpyNote)提供的功能而成为可能的。此功能的核心在于远程控制的概念,它使威胁参与者 (TA) 能够执行 ODF 场景。执行远程控制功能的每个恶意软件家族可能采用不同的实现风格,反映了其背后的开发人员的不同技能和知识。
读者必须明白,ODF 带来的挑战远远超出了像本报告重点关注的 Copybara 这样的单一银行木马。我们的调查结果强调了这种威胁格局的更广泛范围,因为我们追踪了负责任的助教精心策划的整个欺诈链。这项调查将为读者提供全方位的策略、技术和程序 (TTP),从最初用于发起攻击的社会工程组件(例如网络钓鱼和语音钓鱼)到用于设备感染的 Copybara 分发和细致的管理这些攻击阶段,以确保其活动的成功。
关键点
从 2023 年底到 2024 年前几周,我们拦截了一场针对英国、西班牙和意大利的持续银行欺诈活动。
该活动背后的威胁参与者 (TA) 采用了混合方法,包括社会工程技术(网络钓鱼/钓鱼)和恶意软件组件,以向组织良好的银行账户网络(钱骡)执行未经授权的银行转账(通过即时支付)。
助教被发现使用一种结构化的方式通过一个名为“Mr.”的集中式网络面板来管理所有正在进行的网络钓鱼活动。机器人”。借助此面板,TA 可以根据自己的需求启用和管理多个网络钓鱼活动(针对不同的金融机构)。
假设受害者使用 Android 设备出现。在这种情况下,助教会尝试借助社会工程安装名为 Copybara 的 Android 银行木马。
Copybara 提供了执行设备上欺诈 (ODF) 的所有功能,并直接在受害者的设备上发起未经授权的资金转移。通过ODF方法,TA处理欺诈交易的能力显着增强,使得传统的反欺诈对策基本上无效。
TTP
下表总结了 Copybara 活动背后的 TTP:
Copybara欺诈操作概述
下图提供了 TA 欺诈操作所涉及的技术组件的高级概述。
图1-Copybara欺诈操作
在这种欺诈操作架构之上,助教利用社会工程技术来传播 Copybara 银行木马,该木马通常涉及利用母语操作员进行的短信诈骗和网络钓鱼技术。特别是,一些样本显示助教通过看似合法的应用程序分发 Copybara,利用知名银行的徽标和听起来真实的名称,例如“Caixa Sign Nueva”、“BBVA Codigo”、“Sabadell Codigo”。
根据我们调查期间检索到的数据:
TA 利用专用的网络面板来管理所有活跃的网络钓鱼网站,并将恶意软件充分分发给潜在的受害者。根据登录页面的标识,该面板被命名为“Mr.”。机器人”。
TA 滥用 Cloudflare 提供的反向代理服务来掩盖其服务器的实际位置,并确保针对 DDOS 攻击和删除请求提供更多保护。
并非所有活动域都提供针对特定银行机构的网络钓鱼工具包;有些似乎只是为了提供 Copybara 样本 (.apk) 而部署。助教可能已经拥有来自之前网络钓鱼活动的潜在受害者的有效数据(例如个人详细信息、电话号码、登录信息)。
助教对 3 个国家感兴趣:西班牙、意大利和英国。
什么是网络钓鱼套件?
网络钓鱼已发展成为一种复杂的网络犯罪艺术形式,利用欺骗策略诱骗个人泄露敏感信息。如今,许多成功的网络钓鱼活动都利用称为“网络钓鱼工具包”的工具。这些工具包是预先打包的恶意工具和资源集,由 TA 精心制作,旨在简化和扩大其欺诈活动。
网络钓鱼工具包是恶意资产和脚本的集合,旨在复制合法网站,通常模仿银行、金融机构或其他可信平台的登录页面。这些工具包旨在欺骗毫无戒心的受害者泄露用户名、密码和电话号码等机密信息。对于从事欺诈活动的网络犯罪分子来说,网络钓鱼工具包的部署有多种目的,特别是那些以银行欺诈为中心的活动:
易于使用:网络钓鱼工具包简化了恶意网站的设置,甚至允许技术水平较低的助教进行复杂的网络攻击。
速度和效率:通过预先配置的模板和脚本,TA 可以快速部署网络钓鱼活动,最大限度地增加潜在受害者的数量。
隐蔽性:通过模仿合法网站,网络钓鱼工具包可以帮助 TA 融入浩瀚的真实在线流量中,从而避免被发现。
定制:助教可以针对特定组织或人群定制网络钓鱼工具包,从而提高欺诈活动的成功机会。
Mr. Robot 简介:用于网络钓鱼活动的 C2 框架
我们的调查揭示了一个名为“机器人先生”的额外 C2 框架。“先生”这个名字。Robot”是根据网页面板登录页面上的徽标拍摄的。
图 2 – Mr. Robot 面板 - 登录页面
该 C2 框架的独特之处在于它能够同时处理多个网络钓鱼活动。它允许 TA 同时策划针对不同金融机构的定制攻击。每个网络钓鱼活动都配备了独特的网络钓鱼套件,旨在反映目标银行的在线界面。
图 3 – Mr. Robot - 网络钓鱼活动概述
根据Mr. Robot C2的源代码,作者决定留下一个标准数据库,例如MySQL,只存储他们在活动期间收集的一些欺诈数据。相反,他们的方法基于 SleekDB 的使用,这是一种使用纯 PHP 的 NoSQL 数据库实现,将数据存储在纯 JSON 文件中,如下图所示。
图 4 – Mr. Robot C2 – 使用 SleekDB 进行数据存储
这种方法的结果至关重要,因为所有数据似乎都以纯文本、JSON 格式保存在 Web 服务器内。如果路径已知,则无需身份验证即可轻松访问数据。
图 5 – 机器人先生 - 渗透活动域
尽管在我们的分析过程中遇到了这些弱点,技术援助人员还是针对网络爬行和抓取技术部署了多层对策,这些技术通常被网络安全公司和供应商广泛采用。以下段落将探讨 TA 如何尝试逃避检测和域删除操作。
机器人先生:反检测技术
如今,多个威胁情报供应商已采取主动措施来识别新注册的以及在特定情况下即将激活的网络钓鱼网站。另一方面,TA们努力开发规避技术,以避免新注册的钓鱼域名被快速检测到。
通常,现代网络钓鱼工具包采用多种反检测技术,包括:
地理围栏检查
设备指纹识别
将特定 ASN 和/或网络范围列入黑名单
滥用合法服务(例如 CDN 和反向代理)来掩盖 Web 服务器的实际位置
动态内容生成
下图总结了所采用的所有主要反规避技术,从潜在的新受害者跟踪 TA 设置的恶意链接开始。
图 6 – 机器人先生 – 反规避技术
由于这种欺诈活动的主要目标是来自特定地理区域(意大利、西班牙和英国)的零售银行机构的客户,因此过滤除来自移动设备的连接之外的所有连接是各种组织采用的相当标准的技术。助教。如今,大多数人通过移动设备从事家庭银行业务,这使他们成为助教的有利可图的目标。
图 7 – Mr. Robot - 过滤 HTTP 连接
如果所有检查均成功通过,则原始连接将被视为“潜在的新受害者”,因此可以相应地显示网络钓鱼登录页面。
如图所示,TA 采用动态例程来提取运行时网络钓鱼尝试所需的所有文件。通过这种方法,每个受害者将被重定向到特定的子文件夹,并随机命名从中提取网络钓鱼工具包的位置。
图8 – Mr. Robot - 动态提取钓鱼工具包
以下是该 TA 利用的主动网络钓鱼工具包的示例,该工具包由三个简单步骤组成:
泄露有效凭证和相关电话号码;
泄露有效姓名和银行账户余额估计;
数据泄露后向受害者显示虚假消息。
图 9 – 机器人先生 - 网络钓鱼套件步骤
所有收集到的数据通常会发送回专用的 Telegram 组(如果已设置)并存储在其 C2 面板上。从这里,操作员可以轻松管理当前网络钓鱼页面中插入的所有受害者数据。
下一步是对受害者进行网络钓鱼。欺诈运营商利用母语人士通过电话直接连接,通常会欺骗目标银行机构的有效号码,并将其介绍为反欺诈/安全团队。
根据他们的小组的说法,已经创建了一个下拉菜单来帮助欺诈操作者跟踪每个受害者的状态:
“Da chiamare”:尚未命名[黄色框]
“Fatto”:已被称为[绿框]
“Elimina”:取消记录【红框】
图 10 – 机器人先生 - 带有受害者详细信息的控制面板
探索Copybara僵尸网络及其特征
介绍
在本节中,我们从通过关联的 C2(命令和控制)Web 面板提供的功能开始,介绍 Copybara 僵尸网络的主要功能。
在僵尸网络操作中,C2 Web 面板为攻击者提供了一个集中界面来管理和控制受感染的设备。这些面板是僵尸网络基础设施中的关键组件,为攻击者提供了一系列功能来执行和监督其恶意活动。
此外,网络面板有助于从受感染的设备收集数据,包括系统信息和凭据,从而能够分析和利用进一步的恶意活动。最后,僵尸网络控制者利用网络控制面板来监控僵尸网络的健康状况和性能,跟踪活跃机器人的数量及其地理分布。
了解网络控制面板的能力和功能对于理解僵尸网络操作造成的威胁格局至关重要。分析人员可以通过剖析这些组件来更深入地了解攻击者的策略、技术和程序 (TTP),从而增强有效缓解和应对此类威胁的能力。
C2面板及功能概述
Copybara 利用名为“JOKER RAT”的 C2 面板。从仪表板开始,该面板在地图上显示所有受感染设备的列表及其地理分布,具有称为“实时地图”的功能,如下图 11 所示。
图 11 – Copybara 仪表板(实时地图)
该仪表板还可以检索有关受感染设备的基本信息,例如设备名称、操作系统版本和 IP 地址。有了这些数据,TA 就可以轻松地按国家/地区对受感染的设备进行“分类”,或确定哪个受害者在线/离线。每当新设备被感染时,也会触发“通知机制”。
如下图12所示,对于面板内的每个受感染设备,TA可以执行不同的操作,特别是:
Silent Connect:这是该面板的主要功能,允许 TA 远程控制并与受害者的受感染设备 (VNC) 进行实时交互。
注入:注入覆盖页面以窃取银行/加密凭证(覆盖攻击)。
备注:此功能通常被助教用来记下受骗受害人的一些信息。
删除:从仪表板中删除受感染的设备。
图 12 – 带有受感染设备的 C2 面板
单击“静默连接”按钮后,会打开一个新页面,TA 可以收集其他数据并在受感染的设备上执行欺诈操作。
在 Android 银行木马上下文中,此功能也称为 VNC,它使攻击者能够远程查看和操纵受感染设备的屏幕。这种访问级别允许他们进行各种欺诈活动,包括设备上欺诈 (ODF)。
图 13 – Copybara - “静默连接”功能
实时键盘记录
一旦用户在安装阶段接受辅助功能服务弹出窗口,恶意软件就可以记录用户在受感染设备上所做的每项活动。攻击者可以在C2面板上实时观察它们。特别是,助教可以观察到:
受感染设备上安装的应用程序列表;
哪个应用程序使用用户以及对他们执行的每个操作;
任何文本都是由用户编写的。
图 14 – 实时凭证收集
图 15 – 从键盘记录器标签收集实时凭证
覆盖攻击和短信嗅探
窃取银行/加密凭证的另一种方法是通过众所周知的覆盖攻击。在图 12 中,除了“静默连接”按钮外,TA 还可以使用“注入”按钮向受感染设备显示覆盖页面。一旦 TA 收到受害设备内安装的应用程序列表,他们就可以将特定的覆盖页面(由 HTML、CSS 和 Javascript 代码组成)上传到“注入设置”,指定目标应用程序的包名称,如如图 16 所示。
图 16 – 注射设置
此外,考虑到一些银行/加密应用程序使用 SMS 作为 2FA 方法在登录阶段发送 OTP 代码或批准交易,TA 可以使用“SMS RAT”功能窃取 SMS 消息。当攻击者按下“SMS RAT”按钮(1)时,受感染的设备上会出现一个弹出窗口或设置页面(取决于 Android 版本),要求用户使用恶意应用程序更改默认短信管理器应用程序(2)(伪装在银行名称/图标后面)。如果发生变化,TA 可以接收所有 SMS 消息(3)并自动将它们隐藏在受感染的设备上。
图 17 – 注射设置
虚假通知
该面板内的另一个可用功能是“推送通知”,可能用于向受感染的设备发送看起来像银行通知的虚假推送通知,以诱使用户打开银行的应用程序,从而使恶意软件可以窃取凭据。如图18所示,TA可以自定义虚假推送通知,其中包括“标题”、“描述”、应用程序的包名称和图标。
图 18 – 推送通知
APK生成器
助教可以访问面板的特定部分来创建和自定义恶意应用程序。如图19所示,TA可以选择应用程序的名称和包名,并指定要使用的图标。根据过去的活动,Copybara 助教通常会选择与意大利和西班牙银行类似的名称和图标,通常会包含“Token”和“Sicuro/Seguro”等术语。
在面板中,助教可以通过以下方式进一步自定义 APK 文件:
实施特定的辅助功能服务弹出窗口,使其在安装阶段显得合法
加密APK以逃避检测
包含“网络注入”文件来执行覆盖攻击
图 19 – APK 生成器
结论
设备上欺诈 (ODF) 的出现代表了银行欺诈领域中一个重大且不断演变的威胁。我们对最近的 Copybara 操作的调查揭示了 TA 所采用的复杂策略,这些策略危害用户设备并直接通过熟悉的渠道实施欺诈活动。犯罪者利用现代 Android 银行木马(例如 Vultur、TeaBot 和 SpyNote)中嵌入的远程控制功能,通过挑战传统的反欺诈措施,有效地减少了检测。
银行和网络安全领域的利益相关者必须认识到 ODF 的严重性及其对金融机构和最终用户的影响。通过了解这些攻击的复杂性并对新出现的威胁保持警惕,组织可以主动降低风险并防范潜在损失。我们的研究结果强调了在持续打击银行欺诈的斗争中持续合作、创新和适应的必要性。
总的来说,我们可以通过持续的警惕、强大的防御和明智的决策,努力为所有人建立一个更安全的数字生态系统。
附录1:IoC列表
下表总结了技术分析过程中在 Oscorp 上找到的所有命令的列表:
参考链接: https://www.cleafy.com/cleafy-labs/on-device-fraud-on-the-rise-exposing-a-recent-copybara-fraud-campaign
图片来源网络目标可联系删除
