Tedrade银行恶意软件家族针对全球用户

卡巴斯基实验室的网络安全研究人员详细介绍了四个不同的巴西银行木马家族，称为Tetrade，它们针对的是巴西，拉丁美洲和欧洲的金融机构。

专家认为，这四个恶意软件家族分别是Guildma，Javali，Melcoz和Grandoreiro，这是巴西一家银行集团/业务正在发展的能力，该业务正在针对海外银行用户发展。

在巴西网络犯罪地下被公认的最重点的银行木马的开发和商业化。

Guildma恶意软件至少从2015年就开始活跃，最初是在专门针对巴西银行用户的攻击中观察到的。恶意代码一直在不断更新，作者逐渐实现了新功能并扩展了目标列表。

恶意软件操作员对合法工具表现出了很好的了解，并使用它们来防止从安全解决方案中检测到威胁。

“ Guildma邮件的传播严重依赖包含附加在电子邮件正文中的压缩格式恶意文件的电子邮件镜头。文件类型从Visual Basic脚本到LNK不等。” 读取卡巴斯基发表的分析。“大多数网络钓鱼邮件都模仿业务请求，通过快递服务或任何其他常规公司主题发送的包裹，包括COVID-19大流行，但始终带有公司外观。”

Javali自2017年11月以来一直活跃，它主要专注于位于巴西和墨西哥的金融机构的客户。 

Guildma和Javali均采用多级攻击链，并使用网络钓鱼邮件进行分发，该网络钓鱼邮件使用压缩的电子邮件附件（例如.VBS，.LNK）或执行Javascript以下载恶意文件的HTML文件。

专家注意到，该恶意软件使用BITSAdmin工具来下载其他模块。攻击者使用该工具来避免检测，因为该工具已从Windows操作系统列入白名单。

该恶意软件还利用  NTFS备用数据流  来隐藏下载的有效负载的存在，并使用DLL搜索顺序劫持  来启动该恶意软件的二进制文件。

“为了执行其他模块，恶意软件使用进程挖空技术将恶意有效负载隐藏在列入白名单的进程内，例如svchost.exe。有效负载在执行时被加密存储在文件系统中，并在内存中解密。” 卡巴斯基继续。“安装在系统中的最终有效负载将监视用户活动，例如打开的网站和运行应用程序，并检查它们是否在目标列表中。当检测到目标时，将执行该模块，使犯罪分子可以控制银行交易。”

将最终有效负载安装在目标系统上后，它将监视特定的银行网站。当受害者打开这些站点时，攻击者将控制用户执行的任何金融交易。

梅尔科兹（Melcoz）是由至少自2018年以来一直活跃于巴西的一个小组开发的开源RAT，然后将业务扩展到包括智利和墨西哥在内的海外。

通过在攻击者的控制下替换原始的钱包详细信息，梅尔科兹能够从浏览器中窃取密码以及剪贴板和比特币钱包中的信息。

攻击链始于网络钓鱼消息，其中包含指向可下载的MSI安装程序的链接。

安装程序包文件（.MSI）中的VBS脚本将恶意软件下载到系统上，然后滥用AutoIt解释器和VMware NAT服务将恶意DLL加载到目标系统上。

“初始化后，代码将监视浏览器的活动，寻找在线银行会话。一旦找到这些，恶意软件就使攻击者能够在受害者浏览器的前面显示一个覆盖窗口，以在后台操纵用户的会话。“通过这种方式，欺诈交易是从受害者的机器上进行的，这使得在银行端更难检测到反欺诈解决方案。”

恶意代码还可能捕获与银行交易有关的其他特定信息，包括一次性密码。

自2016年以来，最后一个名为Grandoreiro的Tedrade恶意软件家族就已经活跃起来，当时它参与了遍布巴西，墨西哥，葡萄牙和西班牙的一项运动。

该恶意软件托管在Google站点页面上，并通过受感染的网站和Google Ads传播，攻击者还通过鱼叉式网络钓鱼邮件将其传播。专家注意到，它使用  域生成算法  （DGA）来隐藏攻击期间使用的C2地址。

“巴西骗子正在迅速创建会员生态系统，招募网络犯罪分子与其他国家/地区合作，采用MaaS（恶意软件即服务）并迅速向其恶意软件中添加新技术，以使其保持相关性并在财务上具有吸引力。他们的伙伴。”卡巴斯基总结道。

“作为威胁，这些银行木马家族试图通过使用DGA，加密的有效载荷，进程挖空，DLL劫持，大量LoLBins，无文件感染和其他技巧来进行创新，以阻止分析和检测。我们相信，这些威胁将演变为针对更多国家的更多银行。”