巴西的移动用户是新的恶意软件活动的目标,该活动提供了名为 Rocinante 的新 Android 银行木马。
“这个恶意软件家族能够使用辅助功能服务执行键盘记录,并且还能够使用冒充不同银行的网络钓鱼屏幕从受害者那里窃取 PII,”荷兰安全公司 ThreatFabric 说。
“最后,它可以使用所有这些泄露的信息来执行设备的设备接管 (DTO),方法是利用辅助功能服务权限在受感染设备上实现完全远程访问。”
该恶意软件的一些主要目标包括金融机构,例如 Itaú Shop、Santander,这些虚假应用程序伪装成 Bradesco Prime 和 Correios Cellular 等 –
- 利弗洛蓬托斯 (com.resgatelivelo.cash)
- 科雷奥斯·雷卡加 (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
恶意软件的源代码分析显示,Rocinante 在内部被运营商称为 Pegasus(或 PegasusSpy)。值得注意的是,Pegasus 这个名字与商业监控供应商 NSO Group 开发的跨平台间谍软件没有任何联系。
也就是说,根据 Silent Push 最近的分析,Pegasus 被评估为被称为 DukeEugene 的威胁行为者的作品,该威胁行为者也以类似的恶意软件菌株而闻名,例如 ERMAC、BlackRock、Hook 和 Loot。
ThreatFabric 表示,它确定了 Rocinante 恶意软件中直接受 ERMAC 早期迭代影响的部分,尽管据信 ERMAC 源代码在 2023 年的泄露可能起到了一定作用。
“这是第一个原始恶意软件家族从泄漏中获取代码并在他们的代码中实现部分代码的情况,”它指出。“这两个版本也有可能是同一个初始项目的单独分支。”
Rocinante 主要通过网络钓鱼网站分发,旨在诱骗毫无戒心的用户安装假冒的 dropper 应用程序,这些应用程序安装后,会请求辅助功能服务权限以记录受感染设备上的所有活动、拦截 SMS 消息并提供网络钓鱼登录页面。
它还与命令和控制 (C2) 服务器建立联系,以等待进一步的指令 – 模拟触摸和滑动事件 – 以远程执行。收集的个人信息被泄露给 Telegram 机器人。
“该机器人使用冒充目标银行的虚假登录页面提取获得的有用 PII。然后,它会将这些信息(格式化)发布到犯罪分子可以访问的聊天中,“ThreatFabric 指出。
“该信息会根据用于获取它的虚假登录页面而略有变化,包括设备信息,例如型号和电话号码、CPF 号码、密码或帐号。”
这一发展是在赛门铁克强调另一个利用 secureserver 的银行木马恶意软件活动之际发生的。net domain 定位西班牙语和葡萄牙语区域。
“多阶段攻击从恶意 URL 开始,导致包含混淆 .hta 文件的存档,”这家 Broadcom 拥有的公司表示。
“此文件会导致一个 JavaScript 负载,该负载在下载最终 AutoIT 负载之前执行多个 AntiVM 和 AntiAV 检查。此有效负载使用进程注入加载,目的是从受害者的系统中窃取银行信息和凭据,并将其泄露到 C2 服务器。
它还紧随一种新的“扩展软件即服务”的出现,该服务通过新版本的 Genesis Market 进行广告销售,该市场于 2023 年初被执法部门关闭,旨在使用在 Chrome Web Store 上传播的恶意 Web 浏览器扩展从拉丁美洲 (LATAM) 地区的用户那里窃取敏感信息。
该活动自 2023 年年中以来一直活跃,针对墨西哥和其他拉丁美洲国家,被归咎于一个名为 Cybercartel 的电子犯罪组织,该组织向其他网络犯罪团伙提供此类服务。这些扩展不再可供下载。
“恶意的 Google Chrome 扩展程序将自己伪装成合法应用程序,诱骗用户从受感染的网站或网络钓鱼活动安装它,”Metabase Q Ocelot 威胁情报团队的 Karla Gomez 的安全研究人员 Ramses Vazquez 说。
“安装扩展程序后,它会将 JavaScript 代码注入用户访问的网页中。此代码可以拦截和操纵页面内容,以及捕获敏感数据,例如登录凭据、信用卡信息和其他用户输入,具体取决于特定的活动和所针对的信息类型。
发表评论
您还未登录,请先登录。
登录