新闻快讯
< >

巴西银行木马使用合法的VMware二进制文件来绕过安全检测

近日,思科的研究人员发现网络罪犯分子正在使用合法的VMware二进制文件来发送网络钓鱼邮件,旨在针对巴西等南美洲国家银行、金业企业传播银行木马,试图窃取受害者的银行凭证,以获取非法经济利益。

巴西银行木马使用合法的VMware二进制文件来绕过安全检测-E安全

网络犯罪分子使用葡萄牙语来书写钓鱼邮件,以发票为主题。其目的在于更容易获得当地受害者的信任,以增加受害者打开恶意附件的可能性。 该电子邮件包含一个名为BOLETO_2248_.html的HTML附件,而Boleto正是在巴西使用的一种发票类型。如果受害者打开了这个恶意HTML附件,则会被重定向到 goo.gl,受害者在点击之后系统将再次重定向下载另一包含 JAR 文件的压缩包,最终目标设备将执行恶意代码并安装该银行木马。

根据思科Talos 团队的报告,一些安全产品具有以下信任链:如果第一个二进制文件被信任,其接下来加载的库也将会被自动信任。而问题就出在这里,该木马使用合法的VMware二进制文件来欺骗安全工具以绕过安全检查。第一个执行的二进制文件是vm.png,这是一个合法的VMware二进制文件,并使用VMware数字签名进行签名。而第二个执行的二进制文件则是一个恶意的二进制文件,名为vmwarebase.dll。

该银行木马的主要模块还包含很多功能。例如,它将尝试终止分析程序进程,例如taskmgr.exe(任务管理器)、msconfig.exe(MsConfig)、regedit.exe(注册表编辑器)、 ccleaner.exe和ccleaner64.exe。

Talos 团队补充说,该银行木马还运用了Themida加壳工具,这使得它更加难以被分析出来。