ESET начал эту серию статей в блоге, посвященную разбору банковских троянов Латинской Америки, в августе 2019 года. С тех пор мы осветили наиболее активные из них, а именно Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban и Numando. Банковские трояны Латинской Америки имеют много общих характеристик и поведений — теме, которой ESET посвятил белую книгу. Поэтому в серии мы сосредоточились на уникальных особенностях каждой семьи вредоносных программ, чтобы помочь отличить их друг от друга.
Ключевые выводы
- Банковские трояны Латинской Америки — это постоянная, развивающаяся угроза
- В основном они нацелены на Бразилию, Испанию и Мексику
- На момент написания статьи активно еще как минимум восемь различных семейств вредоносных программ
- Три семейства стали неактивны во время написания этой серии, поэтому им не были посвящены отдельные статьи, но мы кратко опишем их основные особенности здесь
- Подавляющее большинство распространяется через спам, обычно ведущий к ZIP-архиву или MSI-установщику
Текущее состояние
Помимо Amavaldo, который стал неактивным примерно в ноябре 2020 года, все остальные семейства остаются активными по сей день. Бразилия по-прежнему является наиболее целевой страной, за ней следуют Испания и Мексика (см. Рисунок 1). С 2020 года Grandoreiro и Mekotio расширились в Европу — в основном в Испанию. То, что начиналось как несколько мелких кампаний, вероятно, для тестирования новой территории, превратилось во что-то гораздо более грандиозное. Фактически, в августе и сентябре 2021 года Grandoreiro запустил свою самую крупную кампанию на данный момент, нацеленную на Испанию (см. Рисунок 2).
Другие части нашей серии о банковских троянах Латинской Америки:
От Карнавала до Синко-де-Майо – Путешествие Amavaldo
Casbaneiro: Опасное кулинарное шоу с секретным ингредиентом
Mispadu: Реклама «Несчастного обеда» со скидкой
Guildma: Дьявол ездит на электричестве
Grandoreiro: Насколько раздутым может быть EXE-файл?
Mekotio: Это не те обновления безопасности, которые вы ищете…
Vadokrist: Волк в овечьей шкуре
Ousaban: Частная фотоколлекция, спрятанная в шкафу
Numando: Считай раз, кодируй два
Рисунок 1. Топ-три страны, наиболее пострадавшие от банковских троянов Латинской Америки
Рисунок 2. Активность банковских троянов LATAM в Испании
Хотя Grandoreiro остается доминирующим в Испании, Ousaban и Casbaneiro доминировали в Бразилии в последние месяцы, как показано на Рисунке 3. Mispadu, похоже, сместил фокус почти исключительно на Мексику, иногда в сопровождении Casbaneiro и Grandoreiro, как видно на Рисунке 4.
Рисунок 3. Активность банковских троянов LATAM в Бразилии
Рисунок 4. Активность банковских троянов LATAM в Мексике
Банковские трояны Латинской Америки раньше быстро менялись. В начале нашего отслеживания некоторые из них несколько раз в месяц добавляли или изменяли свои основные функции. Сейчас они все еще очень часто меняются, но ядро остается в основном нетронутым. Благодаря частично стабилизированной разработке мы полагаем, что операторы теперь сосредоточены на улучшении распространения.
Кампании, которые мы наблюдаем, всегда проходят волнами, и более 90% из них распространяются через спам. Одна кампания обычно длится не более недели. В 3-м и 4-м кварталах 2021 года мы наблюдали, как Grandoreiro, Ousaban и Casbaneiro значительно расширили свой охват по сравнению с предыдущей активностью, как показано на Рисунке 5.
Рисунок 5. Активность банковских троянов LATAM по всему миру
Воздействие
Банковские трояны Латинской Америки требуют множества условий для успешной атаки:
- Потенциальные жертвы должны выполнить шаги, необходимые для установки вредоносного ПО на свои машины
- Жертвы должны посетить целевой веб-сайт и войти в свои учетные записи
- Операторы должны отреагировать на ситуацию и вручную дать команду вредоносному ПО отобразить поддельное всплывающее окно и взять под контроль машину жертвы
- Жертвы должны не заподозрить вредоносную активность и, возможно, даже ввести код аутентификации в случае 2FA
Учитывая это, сложно оценить воздействие этих банковских троянов только на основе телеметрии. Однако в июне этого года мы смогли получить представление, когда правоохранительные органы Испании арестовали 16 человек, связанных с Mekotio и Grandoreiro.
В отчете полиция заявляет, что было украдено почти 300 000 евро, и им удалось заблокировать перевод общей суммы в 3,5 миллиона евро. Сопоставляя этот арест с Рисунком 2, мы видим, что Mekotio, похоже, получил гораздо больший удар, чем Grandoreiro, что позволяет нам предположить, что арестованные лица были больше связаны с Mekotio. Несмотря на то, что Mekotio затих почти на два месяца после ареста, ESET продолжает видеть новые кампании, распространяющие Mekotio на момент написания.
Для справки, еще в 2018 году полиция Бразилии арестовала преступника, стоявшего за другим банковским трояном в рамках операции под названием «Операция хвастовства». Они оценили, что он смог украсть около 400 миллионов долларов США у жертв в Бразилии.
Семейства, которые мы не осветили
В ходе нашей серии несколько банковских троянов Латинской Америки стали неактивными. Хотя мы планировали посвятить им отдельные статьи, поскольку они неактивны уже более года, мы кратко упомянем их в разделах ниже. Мы также предоставляем IoC для них в конце этой статьи.
Krachulka
Это семейство вредоносных программ было активно в Бразилии до середины 2019 года. Его наиболее заметной характеристикой было использование хорошо известных криптографических методов для шифрования строк, в отличие от большинства банковских троянов Латинской Америки, которые в основном используют пользовательские схемы шифрования, некоторые из которых разделяются между этими семействами. Мы наблюдали варианты Krachulka, использующие AES, RC2, RC4, 3DES и немного модифицированный вариант Salsa20.
Krachulka, несмотря на то, что он написан на Delphi, как и большинство других банковских троянов Латинской Америки, распространялся загрузчиком, написанным на языке программирования Go — еще одна уникальная характеристика среди такого рода банковского вредоносного ПО (см. Рисунок 6).
Рисунок 6. Загрузчик Krachulka, написанный на Go
Lokorrito
Это семейство вредоносных программ было активно в основном в Мексике до начала 2020 года. Мы смогли идентифицировать дополнительные сборки, каждая из которых была нацелена на разные страны — Бразилию, Чили и Колумбию.
Наиболее отличительной особенностью Lokorrito является использование пользовательской строки User-Agent в сетевой связи (см. Рисунок 7). Мы наблюдали два значения — LA CONCHA DE TU MADRE и 4RR0B4R 4 X0T4 D4 TU4 M4E, оба довольно вульгарных выражения на испанском и португальском языках соответственно.
Рисунок 7. Lokorrito User-Agent
Мы идентифицировали несколько дополнительных модулей, связанных с Lokorrito. Во-первых, бэкдор, который в основном функционирует как упрощенная версия банковского трояна без поддержки поддельных окон наложения. Мы полагаем, что он был установлен в некоторых кампаниях Lokorrito, и только если злоумышленник считал это необходимым, он обновлялся до настоящего банковского трояна. Затем — спам-инструмент, который генерирует спам-письма, распространяющие Lokorrito, и отправляет их дальнейшим потенциальным жертвам. Инструмент генерировал письма на основе как жестко закодированных данных, так и данных, полученных с сервера C&C. Наконец, мы идентифицировали простой инфостилер, предназначенный для кражи адресной книги Outlook жертвы, и стилер паролей, предназначенный для сбора учетных данных Outlook и FileZilla.
Zumanek
Это семейство вредоносных программ было активно исключительно в Бразилии до середины 2020 года. Это было первое семейство банковских троянов Латинской Америки, идентифицированное ESET. Фактически, ESET проанализировал один вариант в 2018 году здесь (на португальском).
Zumanek идентифицируется по своему методу обфускации строк. Он создает функцию для каждого символа алфавита, а затем объединяет результат вызова правильных функций по порядку, как показано на Рисунке 8.
Рисунок 8. Техника обфускации строк Zumanek
Интересно, что Zumanek никогда не использовал никаких сложных методов выполнения полезной нагрузки. Его загрузчики просто загружали ZIP-архив, содержащий только исполняемый файл банковского трояна, обычно названный drive2. Исполняемый файл очень часто был защищен упаковщиком VMProtect или Armadillo.
Мы с низкой уверенностью полагаем, что Ousaban на самом деле может быть преемником Zumanek. Несмотря на то, что два семейства вредоносных программ не имеют общих кодовых сходств, их формат удаленной конфигурации использует очень похожие разделители (см. Рисунок 9). Кроме того, мы наблюдали несколько серверов, используемых Ousaban, которые очень напоминали те, что использовались Zumanek в прошлом.
Рисунок 9. Сходства в форматах удаленной конфигурации Zumanek и Ousaban
Будущее
С момента расширения банковских троянов Латинской Америки в Европу они привлекают больше внимания как со стороны исследователей, так и со стороны правоохранительных органов. В последние месяцы мы видели некоторые из их крупнейших кампаний на сегодняшний день.
Исследователи ESET также обнаружили Janeleiro, банковский троян Латинской Америки, написанный на .NET. Кроме того, мы можем увидеть, как некоторые из этих банковских троянов расширяются на платформу Android. Фактически, один из таких банковских троянов, Ghimob, уже был отнесен к злоумышленнику, стоящему за Guildma. Однако, поскольку мы продолжаем видеть, как разработчики активно улучшают свои Delphi-бинарники, мы считаем, что они не откажутся от своего текущего арсенала.
Хотя многие банковские трояны Латинской Америки несколько громоздки и излишне сложны в реализации, они представляют собой иной подход к атаке на банковские счета жертв. В отличие от самых известных банковских троянов прошлого, они не внедряются в веб-браузер и не ищут способы внедрения в определенный банковский веб-сайт. Вместо этого они создают всплывающее окно — вероятно, гораздо более быстрый и простой процесс. У злоумышленников уже есть в распоряжении шаблоны, которые они легко модифицируют для различных финансовых учреждений (см. Рисунок 10). Это их главное преимущество.
Рисунок 10. Шаблоны поддельных окон наложения
Основным недостатком является то, что автоматизация в процессе атаки минимальна или отсутствует — без активного участия злоумышленника банковский троян практически не причинит вреда. Остается вопрос, попытается ли какой-нибудь новый вид вредоносного ПО автоматизировать этот подход.
Заключение
В нашей серии мы представили наиболее активные банковские трояны Латинской Америки за последние несколько лет. Мы выявили дюжину различных семейств вредоносных программ, большинство из которых остаются активными на момент написания статьи. Мы определили их уникальные особенности, а также их многочисленные общие черты.
Наиболее значительным открытием в ходе нашей серии, вероятно, является расширение Mekotio и Grandoreiro в Европу. Помимо Испании, мы наблюдали случайные мелкие кампании, нацеленные на Италию, Францию и Бельгию. Мы считаем, что эти банковские трояны будут продолжать тестировать новые территории для будущего расширения.
Наша телеметрия показывает удивительно большой рост охвата Ousaban, Grandoreiro и Casbaneiro в последние месяцы, что позволяет нам сделать вывод, что злоумышленники, стоящие за этими семействами вредоносных программ, полны решимости продолжать свои злонамеренные действия против пользователей в целевых странах. ESET продолжит отслеживать эти банковские трояны и защищать пользователей от этих угроз.
По всем вопросам обращайтесь по адресу threatintel@eset.com. Индикаторы компрометации для всех упомянутых семейств вредоносных программ также можно найти в нашем репозитории GitHub.
Индикаторы компрометации (IoCs)
Хеши
Krachulka
| SHA-1 | Описание | Название обнаружения ESET |
|---|---|---|
| 83BCD611F0FD4D7D06C709BC5E26EB7D4CDF8D01 | Банковский троян Krachulka | Win32/Spy.Krachulka.C |
| FFE131ADD40628B5CF82EC4655518D47D2AB7A28 | Банковский троян Krachulka | Win32/Spy.Krachulka.C |
| 4484CE3014627F8E2BB7129632D5A011CF0E9A2A | Банковский троян Krachulka | Win32/Spy.Krachulka.A |
| 20116A5F01439F669FD4BF77AFEB7EFE6B2175F3 | Загрузчик Krachulka на Go | Win32/TrojanDownloader.Banload.YJA |
Lokorrito
| SHA-1 | Описание | Название обнаружения ESET |
|---|---|---|
| 4249AA03E0F5142821DB2F1A769F3FE3DB63BE54 | Банковский троян Lokorrito | Win32/Spy.Lokorrito.L |
| D30F968741D4023CD8DAF716C78510C99A532627 | Банковский троян Lokorrito | Win32/Spy.Lokorrito.A |
| 6837d826fbff3d81b0def4282d306df2ef59e14a | Банковский троян Lokorrito | Win32/Spy.Lokorrito.L |
| 2F8F70220A9ABDCAA0868D274448A9A5819A3EBC | Бэкдор-модуль Lokorrito | Win32/Spy.Lokorrito.S |
| 0066035B7191ABB4DEEF99928C5ED4E232428A0D | Бэкдор-модуль Lokorrito | Win32/Spy.Lokorrito.R |
| B29BB5DB1237A3D74F9E88FE228BE5A463E2DFA4 | Бэкдор-модуль Lokorrito | Win32/Spy.Lokorrito.M |
| 119DC4233DF7B6A44DEC964A084F447553FACA46 | Спам-инструмент | Win32/SpamTool.Agent.NGO |
| 16C877179ADC8D5BFD516B5C42BF9D0809BD0BAE | Стилер паролей | Win32/Spy.Banker.ADVQ |
| 072932392CC0C2913840F494380EA21A8257262C | Инфостилер Outlook | Win32/Spy.Agent.PSN |
Zumanek
| SHA-1 | Описание | Название обнаружения ESET |
|---|---|---|
| 69FD64C9E8638E463294D42B7C0EFE249D29C27E | Банковский троян Zumanek | Win32/Spy.Zumanek.DO |
| 59C955C227B83413B4BDF01F7D4090D249408DF2 | Банковский троян Zumanek | Win32/Spy.Zumanek.DK |
| 4E49D878B13E475286C59917CC63DB1FA3341C78 | Банковский троян Zumanek | Win32/Spy.Zumanek.DK |
| 2850B7A4E6695B89B81F1F891A48A3D34EF18636 | Загрузчик Zumanek (MSI) | Win32/Spy.Zumanek.DN |
| C936C3A661503BD9813CB48AD725A99173626AAE | Загрузчик Zumanek (MSI) | Win32/Spy.Zumanek.DM |
Техники MITRE ATT&CK
Мы создали таблицу MITRE ATT&CK, демонстрирующую сравнение техник, используемых банковскими троянами Латинской Америки, представленными в этой серии. Она была опубликована как часть нашей белой книги, посвященной анализу многочисленных сходств между этими банковскими троянами, и ее можно найти здесь.