Jump to content
H4CK

银行的黑客病毒木马可以分析破解吗?

Recommended Posts

Numando是一个专门针对拉丁美洲银行进行攻击的木马。根据追踪分析,这个恶意软件家族背后的研发者至少自 2018 年以来就一直活跃在一线。尽管它不像 Mekotio 或 Grandoreiro 那样活跃,但自从研究人员开始跟踪它以来,就一直在攻击位于拉丁美洲的银行,例如使用看似无用的 ZIP 文件或将有效载荷与钓鱼 BMP 图像捆绑在一起。从地理分布上看,它几乎只专注于巴西的攻击目标,很少在墨西哥和西班牙开展活动。Mekotio是一类拉丁美洲的银行木马,主要针对巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙地区发动攻击。该恶意软件家族的最新变种具有一个显著的特点,就是使用SQL数据库作为C&C服务器。Grandoreiro也针对巴西、墨西哥、西班牙和秘鲁的受害者,自2017年以来,Grandoreiro一直活跃在巴西和秘鲁,并在2019年扩展到墨西哥和西班牙。Grandoreiro木马通常仅通过垃圾邮件的方式进行传播。

Numando木马功能分析

与所有其他针对拉丁美洲的银行木马一样,Numando 也是用 Delphi 编写的,并利用虚假的弹出窗口从受害者那里引诱敏感信息。一些 Numando 变体将这些图像存储在其 .rsrc 部分内的加密 ZIP 文件中,而其他变体则使用单独的 Delphi DLL 来存储这些图像。

后门功能允许 Numando 模拟鼠标和键盘操作、重启和关闭设备、显示覆盖窗口、截取屏幕截图和终止浏览器进程。然而,与其他拉丁美洲银行木马不同的是,这些命令被定义为数字而不是字符串,这个恶意软件的命名似乎对我们有所启发。

Numando 命令处理——命令 9321795 处理的一部分(红色)

字符串是由拉丁美洲银行木马中最常见的算法加密的,并且没有组织到字符串表中。 Numando 收集受害设备的 Windows 版本和位数。

不过和之前介绍的大多数其他拉丁美洲银行木马不同,Numando 没有显示出持续发展和技术迭代的迹象。虽然不时会有一些细微的变化,但总体而言,二进制文件不会有太大变化。

传播和恶意执行进程

Numando 几乎完全是由垃圾邮件传播,根据研究人员的追踪分析,它的活动最多影响数百名受害者,这种攻击效率使其成功率远低于最流行的拉丁美洲银行木马,如 Mekotio 和 Grandoreiro。最近的活动只是向每封垃圾邮件添加一个包含 MSI 安装程序的 ZIP 附件。此安装程序包含一个 CAB 文件,其中包含一个合法的应用程序、一个注入程序和一个加密的 Numando 银行木马 DLL。如果潜在的受害者执行 MSI,它最终也会运行合法的应用程序,并加载注入程序。注入程序定位有效载荷,然后使用带有多字节密钥的简单 XOR 算法对其进行解密,如下图所示。

Numando MSI 及其在最新活动中传播的内容

对于Numando来说,有效载荷和注入程序的名称通常是相同的——带有 .dll 扩展名的注入程序和没有扩展名的有效载荷,这使得注入程序很容易找到加密的有效载荷。令人惊讶的是,注入程序不是用 Delphi 编写的,这在拉丁美洲银行木马中非常罕见。本文末尾的 IoC 包含我们观察到的 Numando 滥用的合法应用程序列表。

用于执行 Numando 的文件,合法应用程序 (Cooperativa.exe)、注入程序 (Oleacc.dll)、加密载荷 (Oleacc) 和合法 DLL

钓鱼 ZIP 和 BMP 覆盖

最近有一个有趣的传播链值得一提,该链以 Delphi 下载程序下载钓鱼 ZIP 文件开始。下载程序会忽略文件的内容并从 ZIP 文件注释中提取一个十六进制编码的加密字符串,这是一个存储在文件末尾的可选 ZIP 文件组件。下载程序不会解析 ZIP 结构,而是查找整个文件中的最后一个 { 字符用作标记。解密字符串会产生一个不同的 URL,该 URL 指向实际的有效载荷文件。

钓鱼是一个有效的 ZIP 文件(ZIP 结构以绿色突出显示),在文件末尾的 ZIP 文件注释中包含一个加密 URL(红色)

第二个 ZIP 文件包含一个合法的应用程序、一个注入程序和一个可疑的大 BMP 图像。下载程序提取此文件的内容并执行合法应用程序,该应用程序会侧载注入程序,进而从 BMP 覆盖层中提取 Numando 银行木马并执行它。该过程如下图所示。

使用钓鱼 ZIP 文件的 Numando 传播链

这个BMP文件是一个有效的图像,可以在大多数图像查看器和编辑器中打开而不会出现问题,因为叠加层会被简单地忽略。下图显示了 Numando 攻击者使用的一些钓鱼图像。

Numando使用一些BMP图像作为诱饵来携带它的有效载荷

远程配置

像许多其他拉丁美洲银行木马一样,Numando 滥用公共服务来存储其远程配置,在本文所讲的示例中是 YouTube 和 Pastebin。下图显示了存储在 YouTube 上的配置示例这是一种类似于Casbaneiro的技术,Casbaneiro是模仿了Spotify或Whatsapp之类的应用程序,以从用户那里收集银行和加密货币信息,谷歌根据 ESET 的通知迅速删除了这些视频。

格式很简单,在 DATA:{ 和 } 标记之间由“:”分隔的三个条目。每个条目的加密方式与Numando中的其他字符串相同——密钥在二进制文件中硬编码。这使得在没有相应的二进制文件的情况下很难解密配置,但是Numando并不经常更改它的解密密钥,这使得解密成为可能。

总结

Numando 是一种用 Delphi 编写的针对拉丁美洲的银行木马。它主要针对巴西、墨西哥和西班牙的用户发起攻击。它也使用虚假的覆盖窗口,包含后门功能并利用 MSI。

它是唯一一个用 Delphi 编写的使用非 Delphi 注入程序的 LATAM 银行木马,并且其远程配置格式是独一无二的。

Link to post
Share on other sites

Follow: 世界中文黑客论坛由CNHACKTEAM[CHT]创建,汇集国内外技术人员,这是一群研究网安黑客攻防技术领域的专家.

法务要求丨Legal丨закон丨القانون

请在学习期间遵守所在国家相关法律,否则后果自负!

Пожалуйста, соблюдайте законы страны, в которой вы находитесь, во время обучения, или будут последствия!

勉強期間中に該当する国の法律を守ってください。そうでなければ結果は自己責任です。

Please abide by the relevant laws of your country during your study, or you will be responsible for the consequences!

官方旗下项目丨About our project

声明:为净化国内外网络安全请勿发布违反国家国定的文章,团队不参与任何涉及黑色产业/攻击/渗透各国正规网站活动,只做网络安全研究,研究网络攻防技术。

世界中文黑客论坛由CNHACKTEAM(CHT)创建,汇集国内外技术人员,这是一群研究网络安全、黑客攻防技术领域的专家,你也可以加入我们!

黑客攻防  技术问答  0day  Hack News  CHT Team  使用指南  商城/Mall  商城订单查询  捐赠/donations  在线用户  X  联系邮箱email:[email protected]

友情链接丨Link丨Связь дружбы

CNHACKTEAM   CHT team official website     www.hac-ker.com     hacked.com.cn     www.77169.net     www.ddosi.com

申请或请未补上链接者联系我们的邮箱,谢谢!

×
×
  • Create New...

Important Information

Please use your computer to visit our website; Please agree to our website rules!Guidelines