Bitdefender研究人员Janos Gergo SZELES和Ruben Andrei CONDOR已经记录了新的Metamorfo活动,该活动使用合法的软件组件来破坏计算机。

Metamorfo是一家银行木马家族,自2018年中期以来一直活跃。它主要针对巴西人,主要通过垃圾邮件附件中装有宏的Office文件进行分发。Metamorfo是一种强大的恶意软件,其主要功能是窃取用户的银行信息和其他个人数据并将其扩散到C2服务器。

这次有什么新消息?

Metamorfo当前使用一种称为DLL劫持的极其有效的技术来隐藏其在系统中的存在并提升其在目标计算机上的特权。我们还注意到,该恶意软件试图从C2服务器下载其他文件,这表明它也可以使用扩展命令集下载自身的更新版本。

DLL劫持入门

DLL劫持是一种技术,它允许对手通过简单地将代码库与恶意代码交换或在搜索路径上删除恶意库来迫使应用程序运行第三方代码。这意味着,如果攻击者可以将文件下载到受害者的计算机上,则当用户运行容易受到DLL劫持的攻击的合法应用程序时,可以执行该文件。在现实生活中的攻击中,黑客会获取易受攻击的合法应用程序,并将其放置在相应应用程序自然可以加载的DLL文件旁边。他们用保存恶意代码的DLL替换了合法DLL,因此应用程序加载并执行了黑客的代码。

在监视Metamorfo活动的同时,我们看到了来自Avira,AVG和Avast,Damon Tools,Steam和NVIDIA的程序被黑客利用。这些产品中的某些组件在加载DLL文件时无法确保加载的文件是合法的。这样,恶意代码将由可信赖的进程加载并执行,因此,如果用户启动任务管理器,则不会有任何怀疑。此外,某些安全解决方案将无法检测到恶意代码或阻止防火墙级别的通信,因为启动过程可能被列入可信任的白名单。

为什么这很重要?

合法的应用程序通常使用Authenticode(代码签名)证书进行数字签名。这被视为信任令牌,因为在请求提升的特权时,Authenticode签名的可执行文件对用户的警觉性较小。随后,如果用户帐户控制(UAC)提示用户其受信任的防病毒供应商想要对系统进行更改,则他们可能不会对此提出质疑。组织有时(错误)配置其入侵检测系统,以使经过数字签名的应用程序不受干扰地运行,而忽略其恶意行为。由于假定EXE来自可靠来源,因此某些反恶意软件解决方案可能不会扫描EXE。

有关完整报告和所分析成分的完整分析,请查看以下白皮书:

http://www.bitdefender-cn.com/downloads/datasheet/Bitdefender-PR-Whitepaper-Metamorfo-creat4500-en-EN-GenericUse.pdf

扫一扫,关注Bitdefender公众号