僵尸网络Necurs战备升级,Trickbot扩大金融目标的攻击范围

Necurs僵尸网络第一次被发现是在2012年,它以分发大量的负载的恶意软件的垃圾邮件而臭名昭著。

Necures僵尸网络与Locky和Jaff勒索软件向来联系紧密,相关部门和组织一直对此担忧不已。不过近来发现,Necurs现在提供了一个不同类型的恶意软件:专门的金融部门的Trickbot银行木马程序。

Trickbot自2016年中被发现以后,一直负责基于浏览器的中间人攻击(man-in-the-browser ,MitB)。起初Trickbot的webinject配置中显示的恶意软件的攻击目标是有针对性的、位于美国的金融机构。然而,从2017年7月17日开始,FlashPoint安全团队观察到一个新的爆发点,Necurs战备升级,Trickbot垃圾邮件活动的范围(包含了一个扩展的webinject配置)的开始演变为以国际和美国客户为主的金融机构。最新Trickbot活动,被称为“MAC1”,攻击范围覆盖了:美国、英国、新西兰、法国、澳大利亚、挪威、瑞典、冰岛、芬兰、加拿大、意大利、西班牙、瑞士、卢森堡、比利时、新加坡、丹麦。

到目前为止,MAC1至少助长了三类不同的垃圾邮件波,所有这些都使用了Trickbot loader作为最后的有效载荷。刚开始,包含了HTML的垃圾邮件伪装成来自澳大利亚电信公司的账单。这些恶意的电子邮件以一个zip存档的Windows脚本文件(WSF)作为附件,其中包含了经过混淆的JavaScript代码。文件被点击时,会下载和执行Trickbotloader。虽然这波恶意的垃圾邮件以WSF脚本作为感染的初始向量,但随后的攻击活动发生了演变,取而代之的似乎是利用恶意的宏负载文档作为附件。

图1:Trickbot MAC1中,电子邮件伪装成一个电信账单通知进行诱骗

Trickbot的分析

一旦感染机器,在注入模块并终止用于启动特洛伊木马的初始线程之前,Trickbot在最初创建过程中使用“create_suspended”flag。

接下来,Trickbot创建一个%APPDATA%directory文件夹,并复制自身,在%temp%里增加一个root权限的证书文件,并更新服务使其获得Windows任务文件夹的持久性。然后,Trickbot在他二进制但我“resource”部分存储一个编码的配置模块,有需要的时候可以从控制器域检索并获取额外的模块。

图2:Trickbot MAC1的主要配置,包括端口为443的各种IP域

Trickbot MAC1的主要配置如下所示:

证书的有效期设置如下:

<ssert><expir></expir><./ssert>

Trickbot服务器配置如下:

Trickbot模块配置如下:

Trickbot还包含importdll32 、 mailsearcher32 、 systeminfo32 、 injectdll32和outlookdl32模块。

图3:Trickbot的各个模块,包括“mailsearcher32”。

Flashpoint观察到TrickbotMAC1静态(“sinj”)和动态(“dinj”)WebInject模块(针对美国和国际金融机构客户)使用了以下三种格式:

此外,Flashpoint对恶意软件的分析显示Trickbot银行木马程序和Dyre银行木马程序之间有明显的相似之处。事实上,Trickbot被认为是Dyre的继任者。Trickbot的制作者可能对Dyre有很深入的了解,也有可能只是简单的复用了旧Dyre的源代码。Dyre幕后的网络犯罪集团一直以来都是以西方国家的各类金融机构为攻击目标,包括了位于美国、英国、加拿大的金融机构。Dyre由于俄罗斯的执法行动而被撤除,于2015年停止运营,它的旧的别名也逐渐的从地下市场中消失了。

结论

由于Trickbot银行木马的MAC1行动仍由强大的Necurs僵尸网络在推动,它可能会继续发展,美国与国际金融机构是它们的攻击目标。

反欺诈程序是许多金融类程序的一个重要组成部分,用于帮助客户检测和反击这种威胁。类似Trickbot这样的恶意软件的威胁不断涌现,攻击目标不断扩展,所有的组织和它的用户在实施安全实践的过程中都需要格外警惕,这是至关重要的。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104653.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code