卡巴斯基研究人员在监控Guildma网银恶意软件针对Windows的攻击活动时,发现URL不仅分发针对Windows的恶意.ZIP文件,还提供似乎是一个安装Ghimob的下载器,而Ghimob则是一种最新的网银木马。在入侵辅助功能模式后,Ghimob能够获得持久性并禁用手动卸载,还能够截获数据,操纵屏幕内容以及为幕后的攻击者提供全面的远程控制功能。
卡巴斯基研究人员在监控Guildma网银恶意软件针对Windows的攻击活动时,发现URL不仅分发针对Windows的恶意.ZIP文件,还提供似乎是一个安装Ghimob的下载器,而Ghimob则是一种最新的网银木马。在入侵辅助功能模式后,Ghimob能够获得持久性并禁用手动卸载,还能够截获数据,操纵屏幕内容以及为幕后的攻击者提供全面的远程控制功能。根据专家的调查,这种非常典型的移动远程访问木马(RAT)的开发者主要集中攻击巴西的用户,但有向全球扩张的计划。目前这些攻击活动仍在进行中。
Guildma 是臭名昭著的 Tétrade 系列威胁中的一个威胁行为者,以其在拉丁美洲和世界其他地区的可扩展的恶意活动而闻名。该威胁行为者一直在积极开发新的技术,开发新的恶意软件并对新的受害者实施攻击。
该威胁行为者的新作品是一种被称为 Ghimob 的网银木马,会引诱受害者通过电子邮件安装恶意文件,而电子邮件会伪装成某种债务文件。这些邮件中还包括一个可供受害者点击的链接,让受害者可以查看更多信息。一旦RAT被安装,恶意软件就会向其服务器发送一条成功感染的信息。该消息包括手机型号、是否具有锁屏安全功能以及恶意软件可以攻击的所有已安装应用的列表。Ghimob 总共可以监视153种移动应用程序,这些应用程序主要来自银行、金融科技公司、加密货币和交易所。
在功能方面,Ghimob 可以说是一个在受害者口袋中的间谍。开发者可以远程访问受感染设备,避开金融机构及其所有反欺诈行为系统实施的机器识别和安全措施,利用机主的智能手机完成欺诈。即使用户使用的是锁屏模式,Ghimob也能将其记录下来,并重新播放以解锁设备。当开发者准备进行诈骗交易时,他们会在设备上插入一个黑色的画面覆盖屏幕,或者全屏打开一些网站。当用户看该屏幕时,开发者就会在后台利用设备上运行的已经打开或登录的金融应用执行欺诈交易。
卡巴斯基的统计数据显示,除了巴西之外,Ghimob 的攻击目标还位于巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克。
“很长时间以来,拉丁美洲的网络罪犯就渴望具有全球影响力的手机银行木马。我们已经见过 Basbanke,之后又出现了 BRata,但是这两种恶意软件都主要集中在巴西市场。事实上,Ghimob 是首个准备进行国际扩张的巴西手机银行木马。我们认为,这次的新的攻击行动可能与巴西著名的网银木马开发组织 Guildma有关,原因有多个,但主要是因为他们使用了共同的基础设施。我们建议金融组织密切关注这些威胁,同时改进他们的认证流程,提升反欺诈技术和威胁情报数据,尽力了解并消除这个最新的移动RAT家族带来的风险,”卡巴斯基安全专家 Fabio Assolini 评论说。
卡巴斯基产品将这种最新的恶意软件家族检测为Trojan-Banker.AndroidOS.Ghimob.
为了远离RAT以及网银威胁,卡巴斯基建议采取以下安全措施:
- 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解
- 让您的客户了解攻击者可能使用的攻击手段。定期向客户发送有关如何识别欺诈行为以及在遇到这种情况时应当如何行事的信息。
- 部署反欺诈解决方案,例如卡巴斯基反欺诈保护。该解决方案能够保护移动渠道,确保攻击者无法使用远程控制来进行欺诈交易。在保护方面,该解决方案既可以检测设备上的RAT恶意软件,也可以通过合法软件识别远程控制的迹象。
想要了解更多有关上述最新漏洞利用程序的详情,请访问Securelist阅读完整版报告。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
