2017年底，ESET安全研究人员注意到，Delphi编写的银行木马常以巴西、墨西哥和智利等拉丁美洲国家为攻击目标。在对恶意软件进行后续跟踪并将其分类后，ESET确定了10多个新的恶意软件家族，还研究了其分布链和内部的关联性。在这篇文章的开头，我们将讨论此类银行木马的起源，然后介绍一种新识别的恶意软件家族——Amavaldo。

拉丁美洲银行木马的特殊之处在哪？

在进一步讨论之前，让我们先来划分这种银行木马的特征：

· 用Delphi编程语言编写

· 包含后门功能

· 较长的传播链

· 可以将其功能划分为多个组件

· 通常会滥用合法的工具和软件

· 针对西班牙语或葡萄牙语国家

在研究过程中，我们还发现了拉丁美洲银行木马的其它一些相同点。比如它们大多数都是连接到C&C服务器后保持连接，等待服务器发送命令，在收到命令后执行，并等待下一个命令。这些命令可能是由攻击者手动推送的，就好像一个聊天室，所有成员都在其中对管理员所写的内容做出反应。

C＆C服务器地址是攻击者保护的重中之重，为此攻击者使用了许多种隐藏实际地址的方法。除了C＆C服务器之外，恶意软件还使用唯一的URL来提交受害者身份信息，这有助于受害者的后续跟踪。

这些银行木马还通常使用鲜为人知的加密算法，不同的软件家族使用的加密算法类似。调查过程中我们发现，恶意软件作者很可能是受到了一本书和一个Delphi免费软件库的启发。

恶意软件是用Delphi编写的，表明可执行文件的大小至少为几兆字节，因为Delphi内核存在于每个二进制文件中。此外，大多数拉丁美洲银行木马包含大量资源，这进一步增加了文件大小。我们甚至遇到过文件大小达到几百兆的样本。在这些情况下，文件大小被故意增加以逃避检测。

识别恶意软件家族

在分析这样的可执行文件时，通常很难快速判断它是否是恶意银行木马。加上它们的功能大多相似、派发的来源可能相同，为我们的分类工作增加了难度，这也是我们大多时候只看到通用检测的主要原因。

后来我们开始依据更强的特性进行区分，这些特性主要是字符串如何存储、如何获得C&C服务器地址以及其他代码相似性。

分发链

恶意软件的分发方法中，最简单的是使用单个下载器（Windows可执行文件），下载器有时会伪装成合法的软件安装程序。这种方法很简单，但也不太常见。

更常见的是多级分发链，使用的是由脚本语言（如JavaScript，PowerShell和Visual Basic Script（VBS））编写的多层下载程序。分发链通常至少有三个阶段，最终的有效负载以zip存档的形式提供，该存档仅包含银行木马或其他组件。对于恶意软件来说，这种方法的主要优点是使分析过程变得复杂，但安全产品却相对更容易阻止此类威胁，只需要破坏链中的一个环节就能终止感染。

盗窃策略

与大多数银行木马不同，拉丁美洲的那些不使用网络注入，而是以一种社会工程的形式——不断检测受害者计算机上的活动窗口，如果找到与银行相关的就会发动攻击。

接着就是诱导客户点击银行应用程序的更新，或者是信用卡与银行帐户凭据的验证，弹出假窗口(如图1)，或一个虚拟键盘（如图2）来窃取数据，之后将被盗信息发送回攻击者。

图1.试图窃取授权码的假弹出窗口

图2.键盘记录程序窃取用户密码

Amavaldo

接下来的文章我们将描述其中一个恶意软件家族，名为Amavaldo。目前这个家族仍在积极开发中，我们观察到的最新版本(10.7)的编译时间戳显示为2019年6月10日。

这是一个模块化的恶意软件，其最终ZIP存档包含三个组件:

· 合法应用程序的副本(EXE)

· 注入器(DLL)

· 加密的银行木马(解密到DLL)

图3显示了Amavaldo最终有效负载ZIP归档文件的内容。

图3.在文件夹中提取的Amavaldo组件，包括：ctfmon.exe（合法应用程序），MsCtfMonitor（加密银行木马）和MsCtfMonitor.dll（注入器）

下载器将所有ZIP存档内容存储到同一文件夹中的硬盘驱动器中。注入器的名称与捆绑的合法应用程序使用的DLL相匹配。在下载器退出之前，它会执行合法的应用程序。然后：

· 注入器通过DLL Side-Loading执行

· 注入器将自身注入wmplayer.exe或iexplore.exe

· 注入器搜索加密的银行木马（一个名称与注入器DLL名称相匹配的无扩展名文件）

· 如果找到这样的文件，则注入器解密并执行银行木马。

特征

除了模块化的结构外，最强的识别特性是用于字符串混淆的自定义加密方案(图4)。可以看到，除了密钥(绿色)和加密数据(蓝色)，代码中还填充了从未使用过的垃圾字符串(红色)。我们在图5中提供了简化的伪代码，以强调算法的逻辑。这个字符串处理例程用于银行木马本身、注入器，甚至我们稍后将描述的下载器。与许多其他拉丁美洲的银行木马不同，这个例程似乎并没有受到前面提到的那本书的启发。

图4. Amavaldo中的字符串混淆

图5. Amavaldo字符串解密伪代码，这个算法似乎没有受到前面提到的那本书的启发。

此外，该恶意软件的最新版本可以通过似乎具有常量名称{D7F8FEDF-D9A0-4335-A619-D3BB3EEAEDDB}的互斥锁来识别。

Amavaldo首先收集有关受害者的信息，其中包括：

计算机和OS识别

受害者安装了什么样的银行保护措施。通过搜索以下文件系统路径收集信息：

· %ProgramFiles%\Diebold\Warsaw

· %ProgramFiles%\GbPlugin\

· %ProgramFiles%\scpbrad\

· %ProgramFiles%\Trusteer

· %ProgramFiles%\AppBrad\

· %LocalAppData%\Aplicativo Itau

新版本通过SecureBridge进行通信，SecureBridge是一个提供SSH / SSL连接的Delphi库。

与许多其他此类银行木马一样，Amavaldo支持多个后门命令。这些命令的功能包括：

· 获取截图

· 通过网络摄像头捕捉受害者的照片

· 记录击键

· 下载并执行更多程序

· 限制访问各种银行网站

· 鼠标和键盘模拟

· 自我更新

Amavaldo在攻击受害者时使用了一种与Windows UAC类似的聪明技术。在检测到与银行相关的窗口后，它会对桌面截屏，使其看起来像新的墙纸。然后会显示一个根据活动窗口的文本选择的假弹出窗口，同时禁用多个热键，防止受害者与弹出窗口以外的任何其他东西进行交互。

当我们第一次遇到这个恶意软件系列时，只有巴西银行成为攻击目标，但它自2019年4月起将其范围扩展到了墨西哥银行，根据我们的分析，攻击者现在只关注墨西哥。

分发

我们能够观察到两条分发的途径，一个在今年年初，另一个在今年4月之后。

分发链1：针对巴西

2019年1月，我们观察到针对巴西受害者的此条分发链，攻击者使用MSI安装程序，VBS，XSL（可扩展样式表语言）和PowerShell进行恶意软件分发。

攻击者首先伪造了一个MSI安装程序，诱导期望安装Adobe Acrobat Reader DC的用户。安装程序使用了两个合法的可执行文件：AICustAct.dll（用于检查可用的Internet连接）和VmDetect.exe（用于检测虚拟环境）。

图6.下载器在虚拟机内运行（左）或没有Internet连接时的错误消息（右）

一旦伪造的安装程序被执行，它就会使用一个嵌入式文件——除字符串之外还包含了一个封装的VBS下载程序（图7）。解包后（图8），它会下载另一个VBS下载器（图9）。请注意，第二个VBS下载程序通过滥用Microsoft Windows WMIC.exe来下载下一个阶段——一个带有嵌入式编码PowerShell的XSL脚本（图10）。最后，PowerShell脚本（图11）负责下载最终的有效负载——一个包含多个文件的zip存档，如表1所示。它还通过创建名为GoogleBol的计划任务来确保持久性。

图7.第一阶段。嵌入在MSI安装程序中的封装VBS下载程序（以红色突出显示）

 

图8.解包的第一阶段

图9.解包的第二阶段。WMIC.exe被滥用来执行下一个阶段

 

图10.第三阶段。包含嵌入式编码PowerShell脚本的大型XSL脚本（以红色突出显示）

图11.第四（最后）阶段。 一个混淆的PowerShell脚本，用于下载最终的有效负载并执行。

在表1中，可以看到两组有效负载和注入器，两者都使用了前面描述的执行方法。NvSmartMax [.dll]被用于执行Amavaldo；libcurl [.dll]与Amavaldo没有直接关系，因为它会执行一个在Brasil Online（BOL）电子邮件平台自动注册大量新帐户的工具。这些创建的账户的登录名和密码将发送回攻击者。

表1.最终有效负载存档的内容及其描述

分发链2：针对墨西哥

此分发链始于一个非常相似的MSI安装程序。不同的是，这一次它包含了一个用作下载器的嵌入式Windows可执行文件。安装程序以伪造的报错消息结束（图12）。之后下载器被执行，通过创建计划任务确保持久性，这次命名为Adobe Acrobat TaskB（图13），然后下载所有Amavaldo组件并执行银行木马，这次没有观察到电子邮件工具。

 

图12.安装程序显示的假消息 

图13.下载程序创建的计划任务

此次攻击针对的目标是公司，攻击者通过伪造简历的方式诱骗员工点击。且由于简历有PDF的格式，运行Adobe Acrobat Reader DC的安装似乎也显得合理。

由于攻击者使用了bit.ly URL短链器，我们可以观察有关其活动的其他信息（图14和15）。 可以看到，这些网址的绝大部分点击都是在墨西哥进行了地理位置定位。 

图14.最近针对墨西哥的Amavaldo活动的统计数据（1） 

图15.最近针对墨西哥的Amavaldo活动的统计数据（2）

结论

在这篇文章中，我们介绍了我们对拉丁美洲银行木马的研究，描述了此类恶意软件的典型特征及其运行方式。并说明了其中一个恶意软件家族——Amavaldo的最典型的特性和目标，详细分析了其最近的分发链。

Amavaldo拥有拉丁美洲银行木马的许多典型特征。它将其功能分成几个组件，滥用合法的应用程序来执行自身和检测虚拟环境，还试图窃取巴西和墨西哥银行的银行信息，并包含后门功能。