ESET hat die Ergebnisse zu den Verbindungen zwischen lateinamerikanischen Bankingtrojaner-Familien in einem Whitepaper veröffentlicht, das erstmals von Virus Bulletin veröffentlicht wurde.
Lateinamerikanische Bankingtrojaner wurden lange Zeit als eine zusammengehörige Gruppe von Malware angesehen. ESET-Forscher stellten fest, dass dies nicht zutrifft und dass es sich, trotz dieser Gemeinsamkeiten, um mehrere unterschiedliche Malware-Familien handelt. Seit vergangenem Jahr veröffentlichen wir in einer Serie immer wieder Blogposts die verschiedenen Bankingtrojaner aus Lateinamerika. Diese Blogposts konzentrieren sich hauptsächlich auf die wichtigsten und interessantesten Aspekte dieser Familien. Bisher haben wir Machenschaften von Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro und Mekotio in dieser Serie aufgedeckt. In den weiteren Artikeln werden wir uns mit Krachulka, Lokorrito, Numando, Vadokrist und Zumanek auseinandersetzen.
In diesem Whitepaper betrachten wir diese Malware-Familien aus einer übergeordneten Perspektive, anstatt auf die Details einzugehen. Wir wollen die Gemeinsamkeiten betrachten und nicht die einzigartigen, individuellen Eigenschaften. Wenn Du unserer Serie gefolgt bist, hast Du möglicherweise schon einige Ähnlichkeiten zwischen den Familien in der Serie festgestellt. Zum Beispiel die Verwendung des gleichen ungewöhnlichen Algorithmus zum Verschlüsseln von Zeichenfolgen oder verdächtig ähnliche DGAs zum Abrufen von C&C-Serveradressen.
Die ersten Ähnlichkeiten, die wir festgestellt haben, bestehen in der Umsetzung dieser Bankingtrojaner. Am offensichtlichsten ist die praktisch identische Implementierung der Kernfunktionen der Bankingtrojaner - Senden von Benachrichtigungen an die Betreiber, regelmäßiges Scannen aktiver Fenster anhand von Namen oder Titel und der Angriff der Systeme über sorgfältig entwickelte, gefälschte Popup-Fenster zum Diebstahl von vertraulichen Informationen der Opfer. Außerdem teilen diese Malware-Familien ungewöhnliche Bibliotheken von Drittanbietern, String-Verschlüsselungsalgorithmen sowie String- und binäre Verschleierungstechniken.
Die Ähnlichkeiten enden hier aber noch nicht. Bei der Verteilungsanalyse dieser Malware-Familien haben wir festgestellt, dass sie auch hier die gleichen Vorgehensweisen haben - sie suchen normalerweise nach einer Markierung (ein Objekt, z. B. eine Datei oder ein Registrierungsschlüsselwert, der angibt, dass der Computer bereits kompromittiert wurde) und sie laden Daten in ZIP-Archiven herunter. Außerdem haben wir identische Vertriebsketten beobachtet, die mehrere lateinamerikanische Bankingtrojaner verbreiten. Erwähnenswert ist auch, dass seit 2019 die überwiegende Mehrheit dieser Malware-Familien Windows Installer (MSI-Dateien) als erste Stufe der Vertriebskette einsetzt.
Lateinamerikanische Bankingtrojaner teilen ebenfalls Ausführungsmethoden. Sie neigen dazu, eigene Tools, in ZIP-Archiven gebündelt, mitzubringen. Die beiden häufigsten Methoden sind der Side-Load von DLL-Seiten und der Missbrauch eines legitimen AutoIt-Interpreters. Darüber hinaus missbrauchen dabei mehrere Familien dieselben unsicheren Anwendungen (sogenannte Bring Your Own Vulnerable Software).
Die Bezeichnung „lateinamerikanischer Bankingtrojaner“ ist zurückzuführen auf die Region, auf die diese Bankingtrojaner normalerweise abzielen - Lateinamerika. Seit Ende 2019 zielen jedoch auch mehrerer Versionen auf Opfer in Spanien und Portugal ab. Darüber hinaus verwenden verschiedene Familien in ihren neuesten Kampagnen ähnliche Spam-E-Mail-Vorlagen, fast so, als wäre dies ebenfalls ein koordinierter Schritt.
Angesichts so vieler Ähnlichkeiten würde man erwarten, dass diese Bankingtrojaner auch die gleichen gefälschten Popup-Fenster nutzen. Das Gegenteil ist allerdings der Fall: Obwohl die Fenster ähnlich aussehen (denn sie sollen ja Kunden derselben Finanzinstitute täuschen), sind die Fenster in den Malware-Familien nicht identisch.
Da wir nicht glauben, dass es möglich ist, dass unabhängige Malware-Autoren so viele gemeinsame Ideen entwickeln, und wir auch nicht glauben, dass eine Gruppe für die Aufrechterhaltung all dieser Malware-Familien verantwortlich ist, schließen wir aus den Indizien, dass es mehrere Akteure gibt, die eng miteinander zusammenarbeiten. Detaillierte Informationen zu den Ähnlichkeiten, die wir hier kurz vorgestellt haben, finden Sie im Whitepaper.
MITRE ATT & CK-Techniken
Die folgende Tabelle veranschaulicht viele der Merkmale, die lateinamerikanische Bankentrojaner gemeinsam haben. Sie basiert auf der Standardtabelle MITRE ATT&CK und konzentriert sich auf die Ähnlichkeiten der Malware-Familien. Sie ist keine vollständige Liste und zeigt hauptsächlich, dass:
- Phishing der häufigste Angriffsvektor ist
- sie sich stark auf Skriptsprachen verlassen, hauptsächlich VBScript
- Registry Run Keys oder der Startordner die am häufigsten verwendeten Persistenzmethoden sind
- alle entweder Nutzdaten oder Konfigurationsdaten auf irgendeine Weise verschleiern
- sie das Laden von DLL-Seiten stark bevorzugen
- sie entweder gefälschte Popup-Fenster oder Keylogger verwenden, um Anmeldeinformationen zu stehlen
- sie erhebliche Anstrengungen unternehmen, um Screenshots zu sammeln und nach Sicherheitssoftware zu suchen
- benutzerdefinierte Verschlüsselungsalgorithmen gegenüber etablierten Algorithmen bevorzugt werden
- sie nicht alle gesammelten Daten an den C&C-Server sende, sondern ebenfalls andere Speicherorte verwenden.
Hinweis: Diese Tabelle wurde mit Version 7 des MITRE ATT&CK-Frameworks erstellt.
| Tactic | ID | Name | Amavaldo | Casbaneiro | Grandoreiro | Guildma | Krachulka | Lokorrito | Mekotio | Mispadu | Numando | Ousaban | Vadokrist | Zumanek |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1566.002 | Phishing: Spearphishing Link | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | |
| Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ❌ | |
| T1059.001 | Command and Scripting Interpreter: PowerShell | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ❌ | |
| T1047 | Windows Management Instrumentation | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| T1059 | Command and Scripting Interpreter | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | |
| Persistence | T1547.001 | Boot or Logon Autostart execution: Registry Run Keys / Startup Folder | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1053.005 | Scheduled Task/Job: Scheduled Task | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| Defense Evasion | T1140 | Deobfuscate/Decode Files or Information | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | |
| T1497.001 | Virtualization/Sandbox Evasion: System Checks | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | |
| T1218.007 | Signed Binary Proxy Execution: Msiexec | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1036.005 | Masquerading: Match Legitimate Name or Location | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | |
| T1197 | BITS Jobs | ❌ | ✅ | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| T1112 | Modify Registry | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | |
| T1027.001 | Obfuscated Files or Information: Binary Padding | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | |
| T1220 | XSL Script Processing | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| Credential Access | T1056.002 | Input Capture: GUI Input Capture | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1056.001 | Input Capture: Keylogging | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1555.003 | Credentials from Password Stores: Credentials from Web Browsers | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| T1552.001 | Unsecured Credentials: Credentials In Files | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | |
| Discovery | T1010 | Application Window Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1518.001 | Software Discovery: Security Software Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1082 | System Information Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1083 | File and Directory Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| T1057 | Process Discovery | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ❌ | |
| Collection | T1113 | Screen Capture | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1115 | Clipboard Data | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| Command and Control | T1132.002 | Data Encoding: Non-Standard Encoding | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| T1571 | Non-Standard Port | ✅ | ✅ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | |
| T1132.001 | Data Encoding: Standard Encoding | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | |
| T1568.002 | Dynamic Resolution: Domain Generation Algorithms | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| T1568.003 | Dynamic Resolution: DNS Calculation | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| Exfiltration | T1048 | Exfiltration Over Alternative Protocol | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| T1041 | Exfiltration Over C2 Channel | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
As you can see, Latin American banking trojans, while having their differences, have many crucial features in common.
