一场精心策划的恶意软件攻击活动正在向墨西哥、阿根廷和西班牙的用户下手，攻击者通过精心设计的冒充税务机构的网络钓鱼邮件来传播 Grandoreiro 银行木马。

这次攻击利用了一个多阶段的感染链条。一开始，受害者会收到虚假的政府通知，声称他们面临着巨额的税务罚款，这种紧迫感迫使受害者点击这些通信内容中嵌入的恶意链接。

该攻击活动采用了复杂的基础设施，利用了托管在 Contabo 网络上的虚拟专用服务器（VPS），这表明威胁行为者越来越倾向于使用合法的托管服务来逃避检测。攻击者专门利用 contaboserver.net 下的子域名，例如 vmi2500240.contaboserver.net，这些子域名与特定的虚拟机相关联。

这种方法为攻击者提供了一层合法的伪装，同时，当这些域名被安全解决方案标记时，他们能够迅速转移基础设施。

当受害者点击这些网络钓鱼邮件中的链接时，他们会被重定向到这些由 Contabo 托管且设置了地理围栏的网址，这些网址会显示一个虚假的税务文件门户。

该页面上有一个 “下载 PDF” 按钮，点击该按钮后，会启动一系列重定向操作，最终导致受害者从合法的文件共享服务 “Mediafire” 上下载一个受密码保护的 ZIP 文件。

在攻击链条中使用多个合法服务的这种技术，极大地增加了检测的难度。

Forcepoint 的研究人员发现，这些攻击者在每次攻击活动中都会频繁更换 contaboserver.net 下的子域名，这使得安全解决方案很难跟上封堵的步伐。

研究人员注意到，攻击者熟练运用地理围栏技术，针对特定地区发动攻击，同时避开安全研究人员的环境。

感染机制分析

当受害者解压这个受密码保护（密码：2025）且包含大量混淆代码的 Visual Basic 脚本的 ZIP 文件时，感染过程就开始了。

这个 VBS 文件包含大量故意设置的干扰信息，使用句点和其他不必要的字符来掩盖其真实功能。

在这个脚本中嵌入了一个经过 Base64 编码的负载，该负载被分割成多个块。

mdanvtBPzcJrzVhDFrqf5=”2bQ5jY+g7j/hPYqSWSISCZAHf/uE2exxvDhADy+eRpbC9mEyEcJc8zRc6xlNkh/CGuWgB7jD7PYH9bWPjEKyVA7b763DFQrtpxW5JsZrI3nauYrOp42x
mdanvtBPzcJrzVhDFrqf3=”0hWpMee4AT6Ew/KV012S0knu283snE9ckrkJQMRbZFDU80+hhijt9MSWJxiBkK30R08vNqAJ8nauvhaymiPTFrXP4KT09F4a5xitt1WjV+EJ07A+1cAP

执行脚本时，它会将这些片段连接起来并进行解码，以提取另一个 ZIP 文件，并将其放置在 Public 用户目录中。

这个 ZIP 文件包含一个经过 Delphi 编译的可执行文件，该文件伪装成 PDF 图标，运行时会显示一个虚假的 Adobe Reader 错误消息。

这种社会工程策略让用户相信他们处理的是一个合法的文档问题，而此时恶意软件在后台悄然建立起持久的存在。

根据版本信息，这个可执行文件声称来自 “ByteCore Technologies 706092 Inc.”，它使用不常见的端口配置（例如 42195）连接到命令控制服务器。

该恶意软件专门针对金融信息，扫描比特币钱包目录，并通过注册表查询（如 “HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\NIs\Sorting\Versions”）收集系统信息，以确定语言设置和机器标识符。

Grandoreiro 木马的多层混淆技术以及对合法基础设施的利用，凸显了现代威胁行为者如何不断演变他们的攻击策略以绕过安全控制措施。

企业必须实施多层防御措施，以便能够在整个攻击链条中检测到此类威胁，从最初的网络钓鱼企图，到负载执行以及命令控制通信等各个环节。

文章原文链接:https://www.anquanke.com/post/id/306278