安全研究员发现一款名为 Coyote 的银行恶意软件,与新披露的通过 WhatsApp 传播的恶意程序 “Maverick” 存在诸多相似之处。
根据 CyberProof 的报告,这两款恶意软件均采用.NET 编写,以巴西用户和银行为攻击目标,具备相同的解密功能、银行 URL 定向功能及银行应用监控功能。更重要的是,两者都能通过 WhatsApp 网页版传播。
Maverick 于上月初由趋势科技首次记录在案,其攻击方被命名为 “水萨西”(Water Saci)。该攻击活动包含两个组件:一款名为 SORVEPOTEL 的自传播恶意软件,通过 WhatsApp 桌面网页版扩散,用于投递包含 Maverick 有效载荷的 ZIP 压缩包。
这款恶意软件会监控浏览器活动标签页,识别与预设拉丁美洲金融机构列表匹配的 URL。一旦检测到匹配 URL,它会与远程服务器建立连接,获取后续指令以收集系统信息,并推送钓鱼页面窃取凭证。
网络安全公司 Sophos 在后续报告中率先提出疑问,认为该活动可能与此前针对巴西用户传播 Coyote 的攻击事件相关,且 Maverick 可能是 Coyote 的升级版。卡巴斯基(Kaspersky)的另一项分析发现,Maverick 与 Coyote 存在大量代码重叠,但仍将其视为针对巴西的全新大规模威胁。
CyberProof 的最新调查结果显示,该 ZIP 文件包含一个 Windows 快捷方式(LNK 文件)。用户启动该快捷方式后,会运行 cmd.exe 或 PowerShell 连接外部服务器(zapgrande [.] com),下载第一阶段有效载荷。该 PowerShell 脚本能够启动中间工具,禁用微软 Defender 杀毒软件和用户账户控制(UAC),并获取.NET 加载器。
该加载器具备反分析技术,会检测逆向工程工具的存在,一旦发现便自动终止运行。随后加载器会下载攻击的核心模块:SORVEPOTEL 和 Maverick。值得注意的是,Maverick 仅在通过检测受感染主机的时区、语言、地区及日期时间格式,确认受害者位于巴西后才会安装。
CyberProof 还发现该恶意软件被用于针对性攻击巴西的酒店,表明其攻击目标可能正在扩大。
与此同时,趋势科技详细披露了 “水萨西” 的新型攻击链 —— 该攻击链采用基于电子邮件的命令与控制(C2)架构,依赖多向量持久化技术保障攻击韧性,并整合多项高级检测规避机制,提升操作隐蔽性,且仅在葡萄牙语系统中执行。
这家网络安全公司在上月末发布的报告中表示:“新攻击链还配备了复杂的远程命令与控制系统,允许攻击者进行实时管理,包括暂停、恢复和监控恶意软件活动,将受感染设备有效转化为僵尸网络工具,实现跨多个端点的协同动态操作。”
该感染流程未使用.NET 二进制文件,而是采用 Visual Basic 脚本(VBScript)和 PowerShell 劫持 WhatsApp 浏览器会话,并通过这款即时通讯应用传播 ZIP 文件。与此前的攻击链类似,WhatsApp 网页版劫持通过下载 ChromeDriver 和 Selenium 实现浏览器自动化。
攻击触发机制为用户下载并解压 ZIP 压缩包,其中包含一个经过混淆处理的 VBS 下载器(“Orcamento.vbs”,即 SORVEPOTEL)。该下载器会执行一条 PowerShell 命令,直接在内存中下载并运行 PowerShell 脚本(“tadeu.ps1”)。
该 PowerShell 脚本用于控制受害者的 WhatsApp 网页版会话,向账户关联的所有联系人分发恶意 ZIP 文件,同时显示名为 “WhatsApp Automation v6.0” 的虚假弹窗,掩盖其恶意意图。此外,该脚本还会连接 C2 服务器,获取消息模板并窃取联系人列表。
趋势科技指出:“恶意软件会终止所有现有 Chrome 进程并清除旧会话以确保操作纯净,随后将受害者的合法 Chrome 配置文件数据(包括 Cookie、认证令牌和已保存的浏览器会话)复制到其临时工作目录。”
“这种技术能够完全绕过 WhatsApp 网页版的认证机制,无需扫描二维码或触发安全警报,即可直接访问受害者的 WhatsApp 账户。”
该公司补充称,这款恶意软件还内置了复杂的远程控制机制,允许攻击者实时暂停、恢复和监控 WhatsApp 传播过程,使其成为能够像僵尸网络一样控制受感染主机的恶意程序。
在 ZIP 文件的实际分发过程中,PowerShell 代码会遍历所有窃取的联系人,发送个性化消息前先检查是否存在暂停指令。个性化消息通过在模板中替换变量,插入基于时间的问候语和联系人姓名生成。
SORVEPOTEL 的另一大显著特征是,它未使用传统的基于 HTTP 的通信方式,而是利用硬编码的电子邮件凭证,通过 IMAP 协议连接terra.com[.] br 邮箱账户,获取攻击指令。部分此类账户已启用多因素认证(MFA)以防范未授权访问。
网络安全与基础设施安全局(CIS)构建工具包
据称,这一额外安全层导致攻击操作出现延迟 —— 每次登录都需要攻击者手动输入一次性认证码才能访问邮箱,获取用于发送指令的 C2 服务器 URL。随后后门程序会定期轮询 C2 服务器,获取攻击指令。支持的指令列表如下:
- INFO:收集详细系统信息
- CMD:通过 cmd.exe 运行命令,并将执行结果导出至临时文件
- POWERSHELL:运行 PowerShell 命令
- SCREENSHOT:截取屏幕截图
- TASKLIST:枚举所有运行中的进程
- KILL:终止特定进程
- LIST_FILES:枚举文件 / 文件夹
- DOWNLOAD_FILE:从受感染系统下载文件
- UPLOAD_FILE:向受感染系统上传文件
- DELETE:删除特定文件 / 文件夹
- RENAME:重命名文件 / 文件夹
- COPY:复制文件 / 文件夹
- MOVE:移动文件 / 文件夹
- FILE_INFO:获取文件的详细元数据
- SEARCH:递归搜索匹配指定模式的文件
- CREATE_FOLDER:创建文件夹
- REBOOT:30 秒延迟后重启系统
- SHUTDOWN:30 秒延迟后关闭系统
- UPDATE:下载并安装自身更新版本
- CHECK_EMAIL:检查攻击者控制的邮箱,获取新的 C2 服务器 URL
WhatsApp 在巴西拥有超过 1.48 亿活跃用户,是全球第二大市场(仅次于印度),其广泛普及成为该攻击活动大规模扩散的关键推手。
趋势科技表示:“攻击方式及战术的持续演进,加之区域定向攻击特征,表明‘水萨西’很可能与 Coyote 存在关联,且这两个攻击活动均隶属于同一巴西网络犯罪生态系统。” 该公司形容攻击者在 “数量和质量上都极具攻击性”。
“将‘水萨西’攻击活动与 Coyote 关联后,我们发现银行木马的传播方式已发生重大转变。攻击者已从依赖传统有效载荷,转向利用合法浏览器配置文件和即时通讯平台,实施隐蔽且可规模化的攻击。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容