Před rokem se naše pražské výzkumné centrum rozhodlo podívat se do hloubky na nechvalně známý malware psaný v Delphi, který útočil na brazilské banky. Sami jsme nevěděli, kam nás výzkum zavede. Nakonec jsme museli rozšířit náš výzkum o další dotčené země třeba Mexiko nebo Chile, protože stejný malware útočil i tam. Cílem bylo především malware klasifikovat a popsat chování útočníků obecně.
Podařilo se nám detailně popsat 10 nových rodin malwaru, prostudovat jejich distribuční řetězce a popsat vnitřní fungování bankovních trojských koní.
Čím se liší bankovní trojské koně v Latinské Americe?
Malware z Latinské Ameriky má řadu charakteristických znaků, které v Evropě nenajdeme. Například bývá psán v jazyce Delphi. I to byl důvod, proč jsme se do analýz pustili. Přímo v Praze máme několik expertů, kteří se tomuto jazyku věnují.
Typický latinskoamerický bankovní malware má funkce backdooru a dlouhý distribuční řetězec. Často je pak funkcionalita rozdělená do několika komponent, zneužívá legitimní nástroje a programy. Pochopitelně je specifikum i cílení na španělsky a portugalsky hovořící země.
Většina trojských koní, které jsme analyzovali, se spojovala s C&C serverem a zůstávala s ním ve spojení a čekaly na příkaz. Poté, co malware pokyn obdržel, provedl jej a čekal na další. S největší pravděpodobností všechny pokyny zadávali útočníci manuálně. Tento postup si můžete představit jako chat, kde všichni účastníci splní, cokoli administrátor napíše.
Bankovní trojské koně z Latinské Ameriky zpravidla mají neznámé šifrovací algoritmy, je časté, že různé rodiny využívají stejný algoritmus. Podařilo se nám objevit dokonce i knihu a freewarovou knihovnu, kterými se autoři algoritmu inspirovali.
Po stopách distribuce
Nejsnazší cestou, jak tento malware infiltrovat do zařízení je použití jediného downloaderu (soubor spustitelný na OS Windows). Útočníci často downloader malwaru maskují za instalaci legitimního software. Je to jednoduchá metoda, ale méně obvyklá.
Mnohem běžnější je použít vícefázovou distribuci, která typicky zahrnuje několik skriptovacích jazyků jako je JavaScript, PowerShell nebo VBScript. Takový řetězec se skládá z nejméně tří fází. Finální payload mívá formu zazipovaném archivu, který obsahuje trojského koně, případně i další komponenty. Výhodou této metody je, že takto útočníci ztěžují detekci svého malware.
Monetizace útoků
Na rozdíl od většiny bankovního malware, tyto kampaně nevyužívají injektování webových stránek, ale spíše metody sociálního inženýrství. Program neustále detekuje aktivní okna na počítači oběti, pokud zachytí nějaké související s bankovní službou, spustí útok.
Cílem je přesvědčit uživatele, aby provedl nějakou neodkladnou a velmi důležitou akci, například verifikoval svou platební kartu. Falešné pop-up okno ale zpronevěří zadané informace. Malware je vytvořen tak, aby sbíral záznamy a odesílal je útočníkům, kteří je pak mohou libovolně zneužít.