By HireHackking in HACKER
· 2 views
只要攻擊者想賺錢,他們就會不斷開發惡意程序,只要他們不斷開發惡意程序,研究人員就會不斷分析。例如,研究人員發布了一份關於在地下論壇上發現的新惡意程序的報告,研究人員稱之為ASMCrypt,它與DoubleFinger加載程序有關。
但攻擊事件層出不窮,研究人員發布了關於新版Lumma竊取程序和Zanubis Android銀行木馬的報告。 Lumma通過從受感染的設備和已安裝的應用程序中收集敏感信息,LummaC2 是輕量級的,大小僅為150-200 KB,可以感染從Windows 7 到Windows 11 的所有操作系統。
LummaC2 惡意程序能夠從用戶的計算機收集密碼、信用卡號、銀行賬戶和其他個人信息。它還可以訪問存儲在Web 瀏覽器(例如Chrome 和Firefox)中的數據,此外,LummaC2 可以在用戶不知情的情況下截取用戶的桌面或活動窗口,這使攻擊者能夠訪問可用於經濟利益或身份盜用的敏感數據。
Zanubis 木馬是一種針對Android 設備的惡意程序,屬於銀行木馬,這是一種旨在盜取銀行憑證的程序。之後,攻擊者可以訪問被攻擊的賬戶並將受害者的資金轉移到他們自己的賬戶中, 與大多數銀行木馬一樣,Zanubis 也利用Android 無障礙服務來執行其操作。
這一合法的Android 功能旨在幫助殘障用戶更輕鬆、更充實地操作他們的智能設備, 此外,Zanubis 還會收集各種設備詳細信息,包括製造商、設備型號、已安裝應用程序列表、受害者的聯繫人列表、指紋等。另外,它還可以獲得電池權限,以避免在用戶激活任何電池優化過程時被強制進入“睡眠”模式。 Zanubis 的運營商還可以向受害者發送SMS 消息或顯示選定的通知,他們甚至可能刪除特定應用程序或鎖定受感染設備的屏幕。
ASMCrypt研究人員監控著許多地下論壇,在其中一個網站上,他們看到了一則廣告,上面正在宣傳一種名為ASMCrypt的新密碼/加載程序變體。這種類型的惡意程序背後的想法是,在沒有加載過程或有效負載本身被AV/EDR等檢測到的情況下加載最終有效負載。這聽起來很像之前介紹的DoubleFinger加載程序。
事實上,經過仔細分析,研究人員高度相信ASMCrypt是DoubleFinger的迭代版。然而,ASMCrypt的工作方式略有不同,它更像是運行在TOR網絡上的實際服務的“前台”。
那麼它是如何工作的呢?首先,購買者獲得ASMCrypt二進製文件,該二進製文件通過TOR網絡使用硬編碼憑據連接到惡意程序的後端服務。如果一切正常,將顯示選項菜單:
買方可以從以下選項中進行選擇:
隱形或隱形注射方式;
有效負載應注入的進程;
用於啟動持久性的文件夾名稱;
Stub類型:要么是偽裝成Apple QuickTime的惡意程序本身,要么是側加載惡意DLL的合法應用程序。
選擇所有所需選項並按下構建按鈕後,應用程序將創建一個隱藏在.png文件中的加密blob,此圖像必須上傳到圖像託管網站。最後一點提到的惡意DLL或二進製文件也會被創建並被傳播。
當惡意DLL在受害系統上執行時,它會下載.png文件,對其進行解密,將其加載到內存中,然後執行。
LummaArkei竊取程序是用c++編寫的,於2018年5月首次出現,在過去幾年中已經多次被迭代或重新命名。它曾被稱為Vidar, Oski, Mars和現在的Lumma,與Arkei有46%的重疊。隨著時間的推移,所有變體的主要功能均保持不變,從加密錢包竊取緩存文件、配置文件和日誌,它可以通過充當瀏覽器插件來實現這一點,但它也支持獨立的Binance應用程序。
但首先是感染媒介。 Lumma是通過一個模仿合法.docx到.pdf網站的偽造網站傳播的。上傳文件時,返回的文件擴展名為.pdf.exe。
Lumma於2022年8月首次被發現,當時研究人員是在新檢測到的樣本中被發現的。大約在同一時間,網絡安全愛好者Fumik0_tweeted發現,Lumma是Mars的“迭代/重構”。從那時起,Lumma經歷了許多變化。
截至目前,研究人員只發現一個樣本(MD5 6b4c224c16e852bdc7ed2001597cde9d)具有收集系統進程列表的功能,同一個樣本還使用了不同的URL與C2通信(/winsock而不是/socket.php)。
研究人員還發現了一個樣本(MD5 844ab1b8a2db0242a20a6f3bbeedf6 b),它似乎是一個調試版本,當到達某些代碼片段時,將向C2發送一個通知。同樣,它使用了一個不同的URL(/wwindg)。
在最近的一個樣本(MD5 a09daf5791d8fd4b5843cd38ae37cf97)中,攻擊者將User-Agent字段更改為“HTTP/1.1”。目前尚不清楚為什麼要這樣做。
儘管之前的所有樣本(包括上面提到的三個樣本),都從C2下載了用於32位系統的附加庫,以便可以解析特定的瀏覽器相關文件(例如密碼等),但MD5 5ac51312dfd99bf4e88be482f734c79只需將整個數據庫上傳到C2。
MD5 d1f506b59908e3389c83a3a8e8da3276具有字符串加密算法。它們現在被十六進制編碼並使用異或密鑰(字符串的前4個字節)加密。
研究人員看到的最大變化之一涉及MD5 c2a9151e0e9f417e555cf90300b45c9,此樣本支持從C2檢索的動態配置文件。此配置是Base64編碼的,並與配置文件的前32個字節進行異或。
“debugging”樣本的代碼段
ZanubisZanubis是一個Android銀行木馬,最早出現在2022年8月左右,目標是秘魯的金融機構和加密貨幣交易所用戶。 Zanubis的主要感染途徑是通過模仿合法的秘魯Android應用程序,然後欺騙用戶啟用可訪問性權限,從而完全控制設備。
研究人員在2023年4月左右在野外發現了很多Zanubis樣本,該惡意程序偽裝成秘魯政府組織SUNAT的官方Android應用程序。研究人員探索了惡意程序的新設計和功能,它似乎經歷了幾個階段的演變,達到了一個新的複雜程度。
Zanubis是在Obfuscapk的幫助下進行混淆的,Obfuscapk是一個流行的Android APK文件混淆處理程序。在受害者授予惡意應用程序訪問權限後,就可以允許其在後台運行。惡意程序使用WebView加載用於查找債務的合法SUNAT網站,這裡的目的是讓毫無戒心的用戶相信該應用程序是SUNAT服務生態系統的一部分。
與C2的通信依賴於WebSockets和稱為Socket.IO的庫,後者允許惡意程序建立到C2的持久連接,這提供了故障轉移選項(從WebSockets到HTTP,反之亦然)。另一個優點是,它為C2提供了一個可擴展的環境,如果需要,Zanubis的所有新感染都可以大規模地從C2接收命令(也稱為事件)。一旦惡意程序啟動,植入程序就會調用一個函數來檢查與C2的連接,它建立到同一C2服務器的兩個連接,但它們執行不同類型的操作,並且只有在C2請求時才建立第二個連接。
Zanubis沒有使用預先填充和硬編碼的目標應用程序列表。近年來,惡意程序開發人員傾向於在目標列表中添加或刪除應用程序的名稱,為了在植入程序上設置目標應用程序,C2發送事件config_packages。隨事件一起發送的JSON對象包含一個數組,該數組指定惡意程序應監控的應用程序,每當屏幕上發生事件時,惡意程序就會解析目標應用程序的列表,例如惡意程序使用onAccessibilityEvent函數檢測到的應用程序打開。一旦發現列表上的應用程序在設備上運行,Zanubis就會根據其配置採取兩種操作來竊取受害者的信息:記錄事件/密鑰,或錄屏。
之前,研究人員提到初始化來自受感染設備的第二個連接,這為C2提供了更多選項。 Zanubis建立這個新連接後,它會向服務器發送一個VncInit事件,通知它第二個功能集的初始化已經完成,並且它會每秒發送關於屏幕渲染的信息,例如顯示大小。研究人員可以假設這是運營商控製或後門感染手機的一種方式。
第二個集合中一個有趣的功能是bloqueoUpdate事件。這是惡意程序採取的最具攻擊性和說服力的行動之一,它假裝是Android更新,從而阻止手機被使用,隨著“更新”的運行,手機仍然無法使用,以至於無法鎖定或解鎖,因為惡意程序會監控並阻止這些嘗試。
虛假更新將用戶鎖定在手機之外
根據研究人員的分析,目標申請是秘魯的銀行和金融實體。另外,根據研究人員的監測數據,他們確定Zanubis專門針對該國的用戶,目標應用程序列表包含40多個程序包名稱。截止目前,收集的Zanubis樣本能夠感染任何Android手機,但它們都是以西班牙語作為系統語言編寫的。
總結惡意程序在不斷發展,Lumma竊取程序就是一個例子,它有多種功能各異的變體。
Zanubis目標是成為一個功能齊全的銀行木馬,可以造成經濟損失並竊取移動用戶的個人數據,惡意代碼和攻擊者TTP的不斷變化對防禦團隊來說是一個挑戰。
Recommended Comments