巴西银行客户正面临CamuBot恶意软件的威胁,该软件隐藏位置遵循了“灯下黑”的原则,在显而易见的地方将自身伪装为银行提供的终端用户安全模块,它拥有银行专用标识,形似真正的安全应用程序组成部分,它还可能会在特定情况下劫持生物识别身份验证的一次性密码。
IBM X-Force周二发布的报告中,CamuBot于2018年8月首次发起对商业级银行客户的针对性攻击。之所以给恶意软件起这个名字,是因为它试图将自己伪装成真正的品牌安全软件。
“恶意软件的运营商利用[CamuBot]瞄准企业和公共部门组织,将社会工程和恶意软件策略结合,以绕过强大的身份验证和安全控制。”IBM Security的全球执行安全顾问Limor Kessem表示。
Kessem推测,恶意软件的分发针对性较强。(威胁行为者)很可能从当地电话簿、搜索引擎或专业社交网络收集(潜在目标的)信息,以联系拥有企业或可能拥有企业银行账户凭证的人。”
一旦目标被选中,攻击者就会通过电话冒充银行职员,指示受害者访问特定的URL,以验证其“安全模块”是否更新。然后,虚假验证站点会显示一个假的“必须更新”,促使受害者安装假安全软件。接着,受害者被告知关闭所有正在运行的程序,并使用Windows管理配置文件下载和安装恶意软件。这时,一个带有银行标识的假应用程序则开始下载。随后CamuBot将在其设备上运行。而且每次攻击文件的名称和下载的URL都会发生变化。
当攻击者与受害者通话时,弹出屏幕会将受害者重定向到一个声称是银行网上银行门户网站,实则为钓鱼网站的位置,如果受害者听从指示通过攻击者维护的虚假站点登录其帐户,那么他将与攻击者“共享”其银行凭证。
恶意软件在物识别身份验证或其他强大的身份验证硬件连接到目标PC方面表现卓越,能获取并安装连接设备的驱动程序。为了执行这种类型身份验证使之最终运行,攻击者利用了恶意软件的高级功能。比如CamuBot创建新的防火墙和防病毒规则,从而确保恶意软件是一个“受信任”的程序。其后通过基于SSH的SOCKS代理与控制对象的命令和控制建立通信。接下来启用端口转发,并将其用于“从客户端设备到服务器的应用程序端口的双向隧道”。这条隧道允许攻击者通过受感染的计算机引导自己的流量,并在访问受感染的银行帐户时使用受害者的IP地址。
Keem评价,CamuBot恶意软件代码与过去一年中其他针对巴西金融机构的大量银行恶意软件和木马不同。首先,它不刻意隐匿到难以发现的位置;其次,它比巴西其他常见远程覆盖型恶意软件更加复杂,不是简单的虚假网页和远程访问工具,攻击战术与欧洲的恶意软件相似,如TrickBot,Dridex和QakBot,它们针对商业银行业务并利用社交工程进行账户和设备接管。