根据卡巴斯基研究人员调查,四种先进的网银恶意软件家族开始针对位于北美、欧洲和拉丁美洲的用户实施攻击,它们分别为Guildma,、Javali、Melcoz 和Grandoreiro。
这些恶意软件被统称为Tetrade,它们代表了网银恶意软件的最新创新,它们当中部署了多种最新的躲避检测的技术。
长期以来,巴西一直是目前最活跃的和最具创新性的网络罪犯的发源地,也是网银木马的热点地区。网银木马是一种能够窃取电子支付系统和在线银行系统登录凭证的恶意软件,从而让网络罪犯从受害者账户中窃取资金。但是,在过去,巴西的网络罪犯主要针对本地的金融机构客户进行攻击。这种情况在2011年初发生了变化,当时有几个网络犯罪组织开始尝试向国外输出基础的木马,但收效甚微。现在,2020年,被称为Tetrade的四个恶意软件家族已经实施了必要的创新,开始在全球范围内传播。
其中的Guildma家族恶意软件从2015年起就开始活跃,它主要通过伪装成合法业务通信或通知的钓鱼邮件进行传播。
自发现以来,Guildma已经获得了多种新的躲避检测技术,使得其很难被检测出来。从2019年开始,Guildma开始使用一种特殊的文件格式将恶意有效载荷隐藏在受害者的系统内。此外,Guildma还会将其与控制服务器的通讯以加密格式存储在Facebook和Youtube页面中。因此,通信流量很难被检测出是恶意的,而且,由于没有反病毒软件阻止这两个网站,它确保控制服务器可以不受干扰地执行命令。
2015年,Guildma的活跃地区仅限巴西。现在,它已经传播到南美、美国、葡萄牙和西班牙。
另一个被称为 Javali (从2017年起就开始活跃)的本地网银木马也出现在巴西之外,针对墨西哥的银行客户进行攻击。与 Guildma一样,该木马也是通过钓鱼邮件进行传播的,并且已经开始使用YouTube来托管其C2通信。
第三个恶意软件家族为 Melcoz,它从2018年就开始活跃,之后拓展到海外,受影响的国家包括墨西哥和西班牙等。
最后一个,但同样重要的是 Grandoreiro 恶意软件家族。在拓展到欧洲国家之前,该恶意软件就开始针对拉丁美洲的用户进行攻击。在这四个家族中,它是传播最广泛的。它从2016年就开始活跃,并且采用了恶意软件即服务的商业模式:不同的网络罪犯都可以购买这些工具的访问权限,从而发动攻击。
这个家族的恶意软件通过被入侵的网站进行传播,同时也通过鱼叉式钓鱼攻击进行传播。跟 Guildma 和 Javali 一样,该家族的恶意软件也会将其 C2 通信隐藏在合法的第三方网站上。
“正如上述四个网银恶意软件家族幕后的网络罪犯一样,巴西的网络罪犯正在积极招募其他国家的代理,以成功将他们的恶意软件输出到世界各地。不仅如此,他们还不断进行创新,增加新的技巧和技术来隐藏他们的恶意活动,让他们的攻击能够获得更多利润。我们预测这四个恶意软件家族将开始攻击更多国家的银行,而且还会有新的恶意软件家族出现。因此,金融机构密切监控这些威胁,并采取措施增强其反欺诈能力非常重要,”拉丁美洲区全球研究和分析团队负责人 Dmitry Bestuzhev 评论说。
更多有关这些复杂的恶意软件家族的更多详情,请访问 Securelist.
要保护金融机构不受这些网银木马以及其他威胁的危害,卡巴斯基专家建议:
- 为您的 SOC 团队提供最新的威胁情报访问,让他们了解威胁行为者和网络罪犯所使用的最新工具、技巧和策略。例如,卡巴斯基金融威胁情报报告服务包含感染迹象(IoC)、Yara规则和威胁的哈希值。
- 告知您的客户,让他们了解不法分子可能使用的伎俩。定期向客户发送如何识别骗局的信息,告诉他们遇到这种情况下应该如何处理。
- 部署能够检测复杂的欺诈手段的反欺诈解决方案。例如,卡巴斯基反欺诈,一款基于对话的反欺诈解决方案,不仅能够拦截窃取资金潜伏阶段的恶意企图(JavaScript注入、隐藏的远程管理工具连接和网站使用),还能够识别账户中的后续不当行为。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
