安全

Grandoreiro 银行木马爆发：X-Force 发现新兴全球攻击行动

在家工作并在笔记本电脑上阅读电子邮件的女士

作者

Golo Mühr

Malware Reverse Engineer

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

自 2024 年 3 月以来，IBM X-Force 一直在跟踪多个大规模网络钓鱼行动，而这些活动会分发 Grandoreiro 银行木马；该木马很可能会以恶意软件即服务 (MaaS) 的形式运行。对该恶意软件的分析表明，它对字符串解密和域生成算法 (DGA) 进行了重大更新，并且还能利用受感染主机上的 Microsoft Outlook 客户端进一步传播网络钓鱼电子邮件。其最新的恶意软件变种还专门针对全球 1,500 多家银行，以便攻击者能在 60 多个国家或地区开展银行欺诈，其中包括中美洲与南美洲、非洲、欧洲和印度太平洋地区。虽然攻击行动过去仅限于拉丁美洲、西班牙和葡萄牙，但 X-Force 观察到最近的行动会冒充墨西哥税务局 (SAT)、墨西哥联邦电力委员会 (CFE)、墨西哥行政与财政部长、阿根廷税务局、尤其还有南非税务局 (SARS)。自最近一次针对 Grandoreiro 的执法行动以来，经过改版的恶意软件和新的目标设定可能表明其策略已发生变化，从而很可能促使运营商开始在全球网络钓鱼行动中扩大 Grandoreiro 的部署范围，并首先从南非开始。

重要结论

  • Grandoreiro 是一种多组件银行木马，且可能会以恶意软件即服务 (MaaS) 的形式运行。
  • 它已被广泛部署到冒充墨西哥、阿根廷与南非政府实体的网络钓鱼行动中。
  • 该银行木马专门针对 60 多个国家或地区（包括中/南美洲、非洲、欧洲和印度太平洋地区）的 1,500 多个全球银行应用程序和网站。
  • 其最新变体包含重大更新，其中包括字符串解密和 DGA 计算，从而允许每天至少支持 12 个不同的 C2 域。
  • Grandoreiro 支持从受感染的主机获取电子邮件地址，并使用其 Microsoft Outlook 客户端开展进一步的网络钓鱼行动。

行业时事通讯

辅以专家洞察分析的最新科技新闻

通过 Think 时事通讯，了解有关 AI、自动化、数据等方面最重要且最有趣的行业趋势。请参阅 IBM 隐私声明

谢谢！您已订阅。

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此管理您的订阅或取消订阅。更多相关信息，请参阅我们的 IBM 隐私声明

Grandoreiro 运营者扩大攻击行动

以 LATAM 为重点的攻击行动

自 2024 年 3 月以来，X-Force 已观察到冒充墨西哥税务局 (SAT)、墨西哥联邦电力委员会 (CFE)、墨西哥市行政与财政部长以及阿根廷税务局的网络钓鱼行动。这些电子邮件针对拉丁美洲的用户，其中包括来自墨西哥、哥伦比亚和智利的顶级域名 (TLD)—“.mx”、“.co”和“.cl”。出于个人隐私考虑，图像中存在的真实身份均已经过编辑。

首次行动似乎试图让人产生正式与紧急的印象，并告知目标他们收到了有关联邦纳税人注册费 (RFC) 借额尚未支付的最终通知。如果未支付，后果可能包括惩罚、罚款以及用户税务识别号被封锁，从而会影响相关目标合法开展业务和使用政府服务的能力。此外，还有一个行动冒充了墨西哥联邦电力委员会 (CFE)，并提醒收件人他们订阅了 CFEMail，因此可通过单击其中一个嵌入式链接来访问 PDF 与 XML 格式的账户对账单。第三个行动则是模仿行政与财政部长，引导收件人点击 PDF 以阅读有关合规通知的详细信息。模仿阿根廷税务局的行动则指示用户下载新的税务文件并采取适用的操作。

在每次行动中，收件人都会被指示点击某一链接，以查看发票或费用、账户对账单、付款等，具体取决于被冒充的实体。如果点击这些链接的用户位于特定国家或地区内（根据行动的不同，可能是墨西哥、智利、西班牙、哥斯达黎加、秘鲁或阿根廷），他们则会被重定向到一个 PDF 图标的图像，且会在后台下载一个 ZIP 文件。此 ZIP 文件包含一个伪装成 PDF 图标的大型可执行文件，而经查明该文件是在发送该电子邮件的前一天或当天创建的。

冒充 SAT 的示例电子邮件
冒充 CFE 的示例电子邮件

图 1、2： 冒充 SAT 和 CFE 的示例电子邮件

冒充行政与财务部长的示例电子邮件
模仿 AFIP 的示例电子邮件

图 3、4：行政与财务部长和 AFIP

冒充南非税务局的行动

Grandoreiro 恶意软件通常出现在针对拉丁美洲用户的行动中；但在最近涉及 Grandoreiro 运营者的抓获事件之后，X-Force 发现，触及拉丁美洲和加勒比地区以外地区的行动出现激增，其中包括来自西班牙、日本、荷兰和意大利的 TLD。X-Force 已发现一起冒充南非税务局 (SARS) 的网络钓鱼行动，而该行动声称来自纳税人援助服务部门。X-Force 还发现两起冒充墨西哥税务管理部门的行动，且很可能是同一名运营者所为。这些电子邮件用英语或西班牙语编写，并且格式相似。邮件中会提及税务编号，并告知收件人他们正收到符合南非税务局规定或税务管理局规定的电子税务发票。用户将获得用于查看发票的 PDF 或 XML 链接，而该链接会启动 ZIP 存档下载，其中包含 Grandoreiro 加载程序可执行文件“SARS 35183372 eFiling 32900947.exe”（具体数字因不同样本而异）。

冒充 SAT 的示例电子邮件
冒充 SAT 的示例电子邮件 2
冒充 SARS 的示例电子邮件

图 5、6、7：冒充 SAT 和 SARS 的示例电子邮件

分析：Grandoreiro 加载程序

与之前的行动一样，Grandoreiro 的感染链始于定制加载程序。此可执行文件的大小通常会膨胀到 100 MB 以上，从而阻碍自动防病毒扫描。为了绕过自动执行，它会显示一个模仿 Adobe PDF 阅读器的 CAPTCHA 弹出小窗口；而在此窗口中，需进行点击才能继续执行。

Grandoreiro 虚假 Adobe PDF 阅读器 CAPTCHA 的屏幕截图

图 8：Grandoreiro 虚假 Adobe PDF 阅读器 CAPTCHA

此加载程序有三项主要任务：

  1. 验证客户端是否为合法受害者（而不是研究人员或沙盒）
  2. 枚举基本受害者数据并将其发送回 C2
  3. 下载、解密并执行 Grandoreiro 银行木马

字符串解密

所有这些任务均需超过 120 个重要字符串，而这些字符串会通过改进的算法进行加密。

首先，Grandoreiro 会先生成一个长密钥字符串，而该字符串会经过硬编码和三重 Base64 编码。在这些样本中观察到的密钥会以“D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…...”开头。然后，它会将加密后的字符串通过自定义解码转换为一系列十六进制字符，而这些字符会被解释为字节。

Grandoreiro 自定义十六进制编码示例

图 9：Grandoreiro 自定义十六进制编码（请注意，从未使用“””等非十六进制字符编码）

Grandoreiro 使用密钥字符串并通过旧的 Grandoreiro 算法来解密结果。解密例程的 Python 实现如下：

解密例程的 Python 实现

最后，它会进行最后一轮 256 位 AES CBC 解密和取消填充，以检索明文字符串。AES 密钥和发起向量 (IV) 也会以加密字符串形式进行存储，且必须使用上述相同算法解密，但会跳过 AES 解密。下图概述了完整的解密流程：

Grandoreiro 加载程序字符串解密的图表

图 10：Grandoreiro 加载程序字符串解密

受害者验证

为了验证受害者不是沙箱环境的一部分，Grandoreiro 加载程序会收集以下信息并与硬编码值列表（见“附录”）进行核对：

  1. 计算机名称
  2. 用户名
  3. 操作系统版本信息
  4. 已安装的防病毒解决方案
  5. 受害者的公共 IP 地址所在的国家或地区（通过 http://ip-api.com/json 获取）
  6. 正在运行的进程的列表

此验证步骤还可用于禁止特定国家或地区的受害者。对于来自以下公共 IP 的感染，某一样本未继续执行：

  • 俄罗斯
  • 捷克
  • 波兰
  • 荷兰

该样本还阻止了美国境内未安装防病毒软件的 Windows 7 计算机感染病毒。

受害者特征分析

下一执行步骤会尝试建立受害者的基本资料，以显示在 C2 面板上。恶意软件会枚举受害者计算机上的以下信息：

  • 公共 IP 国家或地区
  • 公共 IP 区域
  • 公共 IP 城市
  • 计算机名称
  • 用户名
  • 操作系统版本信息
  • 已安装的 AV 解决方案
  • 检查注册表子项“Software\Clients\Mail”中是否已安装 Outlook 邮件客户端。如果为 true，则该值会设为“SIM”（在葡萄牙语中意为“是”）
  • 检查是否存在以下加密钱包：Binance、Electrum、Coinomi、Bitbox、OPOLODesk、Bitcoin
  • 检查是否安装了特殊的银行安全软件：IBM Trusteer、Topaz OFD、Diebold
  • 台式机显示器数量
  • 卷序列号
  • 感染日期
  • 感染时间

Grandoreiro 使用字符串“*~+”来连接结果，并将其作为加密有效负载请求的一部分发送到 C2 服务器。

C2 通信和加载 Grandoreiro

Grandoreiro 加载程序的 C2 服务器可通过上文解释的相同算法进行解密。生成的域名会通过 DNS over HTTPS 和 URL https://dns.Google/resolve?name=<C2 server> 进行解析，以规避基于 DNS 的封锁。收到 C2 IP 地址后，恶意软件会取该 IP 的前4位，并对其进行 4 个不同的数字对数字映射，从而得到 4 位数端口号。

然后，它会将上述受害者特征分析字符串与大写的葡萄牙语消息“CLIENT_SOLICITA_DDS_MDL”（可译为“客户端要求提供模块数据”）连接在一起。示例字符串如下：

受害者特征分析字符串

该字符串会进行加密，并通过 HTTP GET 请求作为 URL 路径发送到 C2 服务器，从而请求最终的 Grandoreiro 有效负载。

如果成功，C2 服务器将使用 HTTP 200 状态代码回复，其中包含另一条加密消息。它包含以下信息：

  1. 有效负载下载 URL
  2. C2 服务器
  3. 目录名称
  4. 有效负载名称
  5. 有效负载大小

示例：

包含加密消息的 HTTP 200 状态代码

为进行下载，Grandoreiro 会向有效负载 URL 发出另一 HTTP GET 请求。下载的文件存储在“C:\ProgramData\”下的指定目录名中。接下来，它会使用密钥“7684223510”并通过基于 RC4 的算法对此文件进行解密。最后，它会使用 Delphi 库“ZipForge”进行解压缩，并删除最初下载的文件。

该存档可能包含两个文件：一个 .EXE（GRandoreiro 银行木马）文件和一个 .CFG（配置文件）文件。

在执行前，加载程序会枚举当前进程令牌的组成员身份，尤其是检查是否存在 SECURITY_NT_AUTHORITY SID。如果进程拥有所需的权限，加载程序则会使用 ShellExecutionW() 函数和“runas”动词，以提升的权限执行 Grandoreiro 有效负载。相反，如果没有必要的权限，加载程序则会改为通过 ShellExecuteW() 执行自身而不提升权限。

在感染的所有阶段（即有效负载下载、解密和执行），Grandoreiro 加载程序均会向其 C2 服务器报告返回状态消息。部分示例如下：

  • ERRO_FALHA_DOWNLOAD（“下载失败错误”）
  • ERRO_EXTRACAO（“提取错误”）
  • AV_COMEU_MODULO（“AV ate 模块”）
  • ERRO_EXECUCAO（“执行错误”）
  • INFECTADO（“已感染”）

Grandoreiro 银行木马

最终的有效负载为 Grandoreiro 银行木马。其最新版本进行了重大更新，而这些更新主要是在字符串解密与 DGA 计算算法方面。此外，它还包含大量全球银行应用程序，用于设定目标、支持执行并帮助攻击者在数十个国家或地区实施银行欺诈。凭借专用的 Outlook 扩展模块和丰富的功能，它是目前已知的最大银行木马之一，而相关分析仍在进行之中。以下各节将深入探讨 Grandoreiro 最显著的特点，并重点介绍其基本特性和功能。

暂留和配置

Grandoreiro 首先通过 Windows 注册表实现暂留。它会运行以下命令来创建新的注册表 Run 键值，并在用户登录时启动恶意软件：

用于创建新注册表 Run 键值并在用户登录时启动恶意软件的命令

请注意，此键值的名称在不同样本之间可能有所不同，但通常会与下载的有效负载的原始文件名相关。如果 Grandoreiro 未在权限提升的进程中运行，则会省略动词“/runas”。

除 .CFG 文件之外，Grandoreiro 还会在 C:\Public\ 目录中创建 .XML 文件。它会通过加载程序的字符串加密例程进行加密，并存储 Grandoreiro 可执行文件名、路径和感染日期。

如果 Grandoreiro 找不到其 .CFG 文件，便会使用默认值填充新的 .CFG 文件，从而指定启用的 Grandoreiro 功能、受害者所在的国家或地区以及感染日期。.CFG 文件会通过下文进一步说明的 Grandoreiro 字符串加密算法进行加密。

目标应用程序

Grandoreiro 运营者大幅升级了目标银行应用程序列表，现已覆盖全球 1,500 多家银行。其最新变种首先会确定受害者是否在目标国家或地区名单上。每个国家或地区还会映射到一个更大的区域，而 Grandoreiro 会使用该区域来确定它应在当前活动的窗口中运行哪些字符串搜索。这意味着，例如，如果受害者所在国家或地区被确定为比利时，它则会搜索与欧洲地区相关的所有目标银行应用程序。Grandoreiro 会在内部将国家或地区映射到欧洲、北美、中美洲、南美洲、非洲、印度太平洋地区和全球岛屿的地区类别，且每个地区均有一个关联的 Delphi 类可用于搜索银行应用程序。此外，Grandoreiro 还有一个用于搜索 266 个唯一字符串（用于识别加密货币钱包）的类，而该类在每次感染时都会运行。

显示 Grandoreiro 根据检测到的国家或地区来启动新线程的代码

图 11：根据检测到的国家或地区来启动新线程的 Grandoreiro

以下热图突出显示了与每个国家或地区相关的唯一银行应用程序的数量。请注意，每个应用程序可能会通过多个字符串进行检测：

显示每个国家或地区的 Grandoreiro 目标银行应用程序的大洲地图

图 12：每个国家或地区的 Grandoreiro 目标银行应用程序（使用 Datawrapper 创建，并用 X-Force 团队的研究信息进行填充）

DGA

Grandoreiro 过去依靠域生成算法 (DGA) 并根据当前日期来计算其活动 C2 服务器。Grandoreiro 的最新迭代版本包含重新设计的算法，并进一步为 DGA 引入了多个种子。这些种子可用于为此银行木马的每种模式或功能计算不同的域，从而允许在多个运营者之间分离 C2 任务，而这将作为其恶意软件即服务运营的一部分。每个 Grandoreiro 样本均可能包含一个主要的默认种子以防配置文件丢失，同时还有一个特定于功能的种子列表。X-Force 分析的样本包含 14 个不同的种子，因而每天可有 14 个潜在的 C2 域。为了解释该算法，我们将计算 2024 年 4 月 17 日所对应的域。下表提供了该算法的可视化示意图，并附带如下说明：

显示 DGA 可视化效果的图表

图 13：DGA 可视化效果

从根域名开始，Grandoreiro 有一个域会映射到一年中的每一天。此类映射有两种，一种用于主 C2，一种用于特定于功能的所有 C2。但是，在 732 个顶级域中，只有 337 个是唯一的。而针对指定当天的主要根域名为 dnsfor[.]me，而辅助根域名则是 neat-url[.]com。

对于下一部分，Grandoreiro 会将种子“xretsmzrb”（主种子）与当前月份格式化后的 2 位数字连接在一起，并用 3 个硬编码字符替换每位数字。数字“0”和“4”分别会替换为“oit”和“zia”，从而生成完整的字符串“xretsmzrboitzia”。

最后，对于每月的每一天，Grandoreiro 都有一个自定义的字符到字符替换映射。对于 17 日，在迭代运行所有 26 个字符替换后，最终的子域字符串为“wondbbhonandhnd”。

计算出所有硬编码种子的剩余域名后，2024 年 4 月 17 日的对应 C2 域名列表就会变成：

2024 年 4 月 17 日对应 C2 域名列表（已迭代运行所有 26 个字符替换后）

X-Force 能确认其中至少 4 个域在当天确实解析为巴西的 IP：

经 X-Force 确认的巴西 IP

C2 服务器的端口是从 IP 地址的前四位数并通过自定义的数位映射计算出来的，就像 Grandoreiro 加载程序一样。有关所有预先计算的 Grandoreiro 域的完整列表，请参见“附录”。请注意，Grandoreiro 确实经常更换种子。初次感染几周后，X-Force 观察到只有主种子 C2 服务器保持活动状态。

对 5 月初的 X-Force DNS 遥测研究表明，当前感染主要位于拉丁美洲：

显示 5 月初感染地理位置的饼图

图 14：5 月初的感染地理位置

命令与控制

在尝试解析计算出的 DGA 后，Grandoreiro 会发送与枚举数据串联并加密的注册消息之一，就像 Grandoreiro 加载程序一样。可能会根据权限、已安装的 AV 和活动 C2 域发送以下消息：

  • CLIENT_SOLICITA_DD_FULL
  • CLIENT_SOLICITA_DD_WLT_FULL
  • CLIENT_SOLICITA_DD_FULL_ADMIN
  • CLIENT_SOLICITA_DADOS_ARQ

Grandoreiro 支持大量不同的命令，包括：

  • 远程控制：
    • 启用和禁用鼠标输入
    • 发送新的鼠标位置或点击，隐藏/显示鼠标
    • 隐藏/显示任务栏
    • 发送新剪贴板
    • 模拟键盘输入（所有特殊按键）
    • 重新启动电脑
    • 启动/停止网络摄像头查看器
    • 列出当前窗口、关闭/恢复/最大化窗口、设为前景窗口、移动窗口位置
    • 列出进程、按 PID 终止进程
    • 启动/停止键盘记录器
    • 打开浏览器（MS Edge、Chrome、Internet Explorer、Firefox、Opera、Brave）
  • 激活和停用模式（也可通过配置文件实现）
    • 管理模式
    • 注册模式
    • Outlook 发送模式（参见“Outlook 收集和垃圾邮件”一节）
    • 重新启动锁定模式
    • 始终开启模式
    • “良好 DNS 交换”模式（内部也称为“PK”模式）。可能会使用配置文件中硬编码的 DGA 种子。
    • “标题屏蔽”或“线程屏蔽”可能会阻止用户打开新窗口
  • 文件上传/下载
    • 接收 BMP/XML 文件（可能是为了模拟检测到的银行应用程序的身份验证窗口）
    • 接收模块更新（尚未实现）
    • 执行新的 .EXE 文件（尚未实现）
    • 枚举主机文件系统
  • 恶意软件控制
    • 查找恶意软件所需的 DLL 文件（例如 MouseA.dll）。
    • “清理”DL 或 ZIP（重新下载组件）
    • 发送客户端枚举数据
    • 更新国家或地区信息

该恶意软件还专门支持打开硬编码的 Banco Banorte URL：

打开硬编码的 Banco Banorte URL 的 Grandoreiro

它还允许在浏览器中执行 JavaScript 命令来模拟 HTML 按钮点击：

javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();

javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();

javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();

javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();

由于大量不同的命令及其命名，Grandoreiro 代码库似乎包含新添加的命令以及不再广泛使用的旧版功能。该银行木马程序可能正在经历频繁的开发周期以添加新功能，而很少进行重构，从而导致代码库的整体大小不断增大。

Outlook 收集和垃圾邮件

Grandoreiro 最有趣的功能之一是，它能通过从 Outlook 收集数据并使用受害者的帐户发送电子邮件来进行传播。Grandoreiro 中至少实现了 3 种机制来收集和泄露电子邮件地址，且每种机制都使用不同的 DGA 种子。通过使用本地 Outlook 客户端发送垃圾邮件，Grandoreiro 可通过电子邮件在受感染的受害者收件箱中传播，而这很可能是 Grandoreiro 发送大量垃圾邮件的原因。

收集

对于 Outlook 收集模式，Grandoreiro 会将其 C2 切换到 DGA 种子 7 以用于泄露数据。日志记录与状态消息会继续发送至主 C2 服务器。例如，在开始收集流程之前，它会发回一份日志，其中包含相同的受害者特征分析数据以及字符串“CLIENT_SOLICITA_DD_EMSOUT”（客户端请求 EMSOUT 数据）和“COLHENDO”（收集）。

为与本地 Outlook 客户端进行交互，Grandoreiro 使用了 Outlook Security Manager 工具，这是一款用于开发 Outlook 加载项的软件。其主要原因在于 Outlook 对象模型防护在检测到受保护对象访问时会触发安全警报。Outlook Security Manager 允许 Grandoreiro 在收集信息与发送垃圾邮件期间禁用这些警报。根据系统架构的不同，该工具需要 DLL 文件“secman.dll”或“secman64.dll”。以便注册为 COM 服务器。然后，它会使用 MAPI 与 Outlook 进行交互。

恶意软件首先会定位邮箱根文件夹，然后递归迭代电子邮件项目。对于每封电子邮件，它均会检查“SenderEmailAddress”属性并针对它运行阻止列表，以过滤掉不需要的电子邮件地址从而收集：

被 Grandoreiro 识别为待收集的不需要的电子邮件地址的字符串

不含上述字符串的电子邮件地址会被聚合成文本文件、压缩为 ZIP 格式并进行外泄。

除上述收集流程之外，Grandoreiro 还支持通过 Namespace.AddStore() 函数首先将 PST 文件添加到 Outlook。另一种支持的采集机制会通过受害者的文件系统递归地扫描所有文件是否存在电子邮件地址。具有以下扩展名的文件将被打开并扫描：

“*.txt”、“*.csv”、“*.html”、“*.xml”、“*.dat”、“*.db”、“*.sqlite”、“*.xlsx”、“*.xls”、“*.xlsm”、“*.dbf”、“*.doc”、“*.docx”、“*.docm”

为了防止不必要的扫描，Grandoreiro 还维护有另一个免扫描路径屏蔽列表，而不包括常见的系统目录。

发送垃圾邮件

为发送垃圾电子邮件，Grandoreiro 会使用从 C2 服务器收到的网络钓鱼模板。然后，它会遍历此模板并填写占位符字段，例如：

  • $replyto →“回复”值
  • $link → 有效负载的链接
  • $hora → 格式化的当前时间
  • $data → 格式化的当前日期
  • $email_destino → 目标地址
  • $valor → 随机生成的浮点值，例如“123,45.67”，而它可能会用于创建随机发票值
  • $letnum_rand_branco → 由大写字母和数字组成的随机字符串，且会粘贴到电子邮件 HTML 中的白色字体标签“<font style=”color: white;”>”之间。用途未知。
  • $assunto → 电子邮件主题
  • $nome_saudacao → 姓名和问候语
  • $nome_empresa → 公司名称
  • $link_imagem → 图像的链接，可能会用于支持公司徽标、签名或横幅广告

在开始发送电子邮件之前，Grandoreiro 会启动一个线程来检测所有出现的对话框，并通过发送特定的 TAB 与 SPACEBAR 按键来轻松点击它们。发送电子邮件后，恶意软件会小心地通过删除受害者邮箱中的已发送电子邮件来掩盖痕迹。此外，对于很多收集与垃圾邮件发送行为，Grandoreiro 会确保受感染机器上的最后一次输入是在至少 5 分钟前（或在某些情况下更长的时间）。开发人员可能希望确保受害者不会注意到任何可疑行为。

在发送垃圾邮件期间，Grandoreiro 会报告以下状态消息：

  • PRONTO（“准备就绪”）
  • EM_REPOUSO（“静态”）
  • DISPARANDO（“发送”）
  • ENVIO_PAUSADO（“发送已暂停”）
  • SEM_CONTA_DISPONIVEL（“没有可用的帐户”）
  • MAX_ERROS（“最大错误数”）

字符串加密

由于 Grandoreiro 是一种如此庞大的恶意软件，它需要大量字符串，而如果这些字符串不加密，则会使检测变得非常容易。Grandoreiro 包含超过 10,000 个字符串，而这些字符串分散在 100 多个特定于功能的字符串加载函数中。此解密机制与加载程序的字符串解密略有不同：

它使用与加载程序相同的 Grandoreiro 密钥，并通过自定义加密和密钥“A”进行解密。获得密钥后，它会使用与加载程序相同的编码方式对加密字符串进行自定义解码，然后使用 ElAES Pascal 实现并通过 AES ECB 模式对生成的字节进行解密。AES 密钥是之前解密的 Grandoreiro 密钥的加密版本。经过又一轮自定义解码后，最终通过旧的 Grandoreiro 算法和 Grandoreiro 密钥解密该字符串。

Grandoreiro 银行木马字符串解密的插图

图 15：Grandoreiro 银行木马字符串解密

总结

X-Force 观察到最近的几个网络钓鱼行动会冒充官方政府实体来投放 Grandoreiro 银行木马。Grandoreiro 分销商通常以拉丁美洲用户为目标；然而，自从最近针对 Grandoreiro 运营者的执法行动以来，X-Force 发现该恶意软件已从 LATAM 以外传播到中美洲和南美洲、非洲、欧洲和太平洋地区。X-Force 分析的 Grandoreiro 银行木马样本的字符串解密与 DGA 计算算法进行了重大更新。这些新分析的样本现在包括至少 1,500 个全球银行应用程序可作为目标，从而支持执行并使攻击者能在 60 多个国家或地区开展银行欺诈。对该恶意软件的更新以及多个国家的银行应用程序的大幅增加，都表明 Grandoreiro 分销商正寻求在全球范围内开展行动并投放恶意软件。

我们鼓励可能受这些行动影响的组织查看以下建议：

  • 谨慎对待提示下载文件的电子邮件和 PDF
  • 监控网络流量，查看是否存在多个针对 https://ip-api.com/json 的连续请求，以此作为 Grandoreiro 感染的潜在指标
  • 考虑通过 DNS 屏蔽预计算的 DGA 域名
  • 监视用于暂留的注册表 Run 键值
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • 安装和配置端点安全软件
  • 更新相关的网络安全监控规则
  • 培训员工了解组织面临的潜在威胁
Mixture of Experts | 12 月 12 日，第 85 集

解码 AI：每周新闻摘要

加入我们世界级的专家小组——工程师、研究人员、产品负责人等将为您甄别 AI 领域的真知灼见，带来最新的 AI 资讯与深度解析。
观看 Mixture of Experts 所有剧集

入侵指标 (IOC)

指示符

指标类型

情境化

root@yhsp<two digit number>.rufnag.com

*电子邮件地址

电子邮件发件人

hxxps[:]//pjohconstruccionescpaz[.]com/?8205-23069071&tokenValue=

92b768ccface4e96cee662517800b208f88ff796

URL

恶意存档下载链接

97f3c0beef87b993be321b5af3bf748cc8e003e

6e90cf5febf69dfd81e85f581

SHA256

ZIP 存档

afd53240a591daf50f556ca952278cf098dbc5

b6c2b16c3e46ab5a0b167afb40

SHA256

ZIP 存档

f8f2c7020b2d38c806b5911acb373578cbd69

612cbe7f21f172550f4b5d02fdb

SHA256

Grandoreiro 加载程序组件

10b498562aef754156e2b540754bf1ccf9a9cb

62c732bf9b661746dd08c67bd1

SHA256

Grandoreiro 加载程序组件

aviso.<four digit number>@cfe.mx

*电子邮件地址

电子邮件发件人

hxxps[:]//hilcfacdigitaelpichipt[.]norwayeast[.]cloudapp

.azure[.]com/?docs/pdf/15540f02-d006-4e3b-b2de-6873baff3b2a

URL

恶意存档下载链接

55426bb348977496189cc6a61b711a3aadde

155772a650ef17fba1f653431965

SHA256

ZIP 存档

arq_@other.com.<four digit number>

*电子邮件地址

电子邮件发件人

root@<6 alpha-numeric value>.rufnag.com

*电子邮件地址

电子邮件发件人

bfcd71a4095c2e81e2681aaf0239436368bc2

ebddae7fdc8bb486ffc1040602c

SHA256

ZIP 存档

3f920619470488b8c1fda4bb82803f72205

b18b1ea31402b461a0b8fe737d6bd

SHA256

Grandoreiro 加载程序组件

84572c0de71bce332eb9fa03fd34243326

3ad0c4f95dd3acd86d1207fa7d23f0

SHA256

Grandoreiro

hxxps[:]//pjohconstruccionescpaz[.]com?docs/xml

/WCA161006TN9/15540f02-d006-4e3b-b2de-6873baff3b2a

URL

恶意存档下载链接

29f19d9cd8fe38081a2fde66fb2e1eff33c

4d4b5714ef5cada5cc76ec09bf2fa

SHA256

ZIP 存档

hxxps[:]//onwfacttasunslahf[.]norwayeast[.]cloudapp

[.]azure[.]com?_task=mail&_action=get&_mbox=

INBOX&_uid=19101&_token=

rbrJMXNUOQvrlaWOOxGAyj7vcufaFN3r&_part

=1.2.3&_embed=1&_mimeclass=image

URL

恶意存档下载链接

2ab8c3a1a7fe14a49084fbf42bbdd04d63

79e6ae2c74d801616e2b9cf8c8519c

SHA256

Grandoreiro 加载程序组件

hxxps[:]//servicerevenueza[.]southeastasi

a[.]cloudapp.azure[.]com/?PDF-XML-71348793

URL

恶意存档下载链接

root[@]zpmbnoxf[.]crazydocuments[.]com

*电子邮件地址

电子邮件发件人

d005abe0a29b53c5995a10ce540cc2ff

be96e7f80bf43206d4db7921b6d6aa10

SHA256

Grandoreiro 加载程序组件

70f22917ec1fa3a764e21f16d68af80b69

7fb9d0eb4f9cd6537393b622906908

SHA256

Grandoreiro 加载程序组件

fb3d843d35c66f76b1b1b88260ad2009

6e118ef44fd94137dbe394f53c1b8a46

SHA256

Grandoreiro 加载程序组件

6772d2425b5a169aca824de3ff2aac400

fa64c3edd93faaabd17d9c721d996c1

SHA256

Grandoreiro 加载程序组件

gruposat@gob.mx

*电子邮件地址

电子邮件发件人

marcasat@gob.mx

*电子邮件地址

电子邮件发件人

assistance@gov.za

*电子邮件地址

电子邮件发件人

hxxps[:]//officebusinessaccount[.]eastus[.]cloudapp

[.]azure[.]com/?PDF-XML-<eight digit number>

URL

恶意存档下载链接

hxxps[:]//servicerevenueza[.]southeastasia[.]

cloudapp[.]azure[.]com/?PDF-XML-<eight digit number>

URL

恶意存档下载链接

18.231.181[.]227

IPv4

Grandoreiro C2 服务器

18.231.158[.]159

IPv4

Grandoreiro C2 服务器

15.229.211[.]175

IPv4

Grandoreiro C2 服务器

15.228.245[.]103