作者 | 北京安帝科技有限公司

最近，Ursnif（又名Gozi）银行木马变种正被移动恶意软件广泛使用，得以攻击意大利的在线银行用户。自从该木马在2014年泄露了其源代码之后，攻击者这些年来一直都在升级和更新Ursnif的功能。而且在这个变种版本中，Ursnif还嵌入了针对Office文档的攻击武器，即恶意VBA宏，它可以作为Dropper或经过混淆的PowerShell脚本来隐藏真正的Payload。除此之外，Ursnif还使用了隐写术来隐藏恶意代码并躲避AV检测。

除了在受害者PC上感染 Ursnif 之外，该恶意软件还诱使受害者从虚假的Google Play 页面获取移动应用程序，并用Cerberus Android恶意软件感染他们的移动设备。Cerberus是一种覆盖型移动恶意软件，于2019年年中出现，但最初缺乏高级功能。随着时间的推移，它最终具有劫持SMS内容和远程控制设备的能力，以及其他复杂的数据窃取功能。Cerberus 一直作为商品恶意软件在地下兜售，直到2020年夏天，它接管了以前付费使用恶意软件 Anubis的市场。Ursnif的运营者使用Cerberus恶意软件组件来接收银行发送给用户的双因素身份验证代码，以便实时确认帐户更新和汇款交易。

一、从PC到智能手机的组合攻击

Ursnif是网络犯罪领域中一种由来已久的常见木马，可能是至今仍在使用的最古老的银行木马。最近以这种恶意软件为特色的活动在意大利最为显著，它通常以附件形式发送给企业电子邮件收件人，这些附件声称带有发票、交货通知或其他商业信函。感染链通常涉及有毒宏，通过提供大多数组织使用的生产力文件来绕过电子邮件控制。在某些活动中，攻击者只允许意大利的IP地址进入感染区。

一旦被 Ursnif 恶意软件感染后，当受害者尝试访问他们的网上银行账户时，受害者会通过网络注入被告知，在不下载安全应用程序的情况下，他们将无法继续使用银行的服务，需要扫描二维码来下载该程序，如图1。

图1  Web注入指示受感染用户下载移动应用程序

查看通过注入提供的二维码，可以发现一个包含详细信息的Base64编码字符串，如图2。

图2恶意二维码内容为 Base64 编码字符串

如果用户扫描二维码，他们的智能手机上将打开一个网页，并被发送到一个虚假的 Google Play 页面，上面有受害者最初试图访问的银行的应用程序标志。在这种情况下，许多域名很有可能是为这一目的注册的，

例如：https://play.google.service.store/store/apps/details.php?id=it.[银行品牌]。每个虚假 Google Play 页面的域名都使用相似的词或错别字使自身显得正常。例如：

• google.servlce.store

• gooogle.services

• goooogle.services

• play.google.servlce.store

• play.gooogle.services

• play.goooogle.services.

这些恶意域名已在VirusTotal上被标记了几个月，随着时间的推移，已经有越来越多的报告在不断累积。

如果用户没有成功扫描二维码，则会被要求提供他们的电话号码，随后会收到一条带有下载恶意应用程序链接的短信，如果用户没有下载，则会警告用户可能会中断应用程序服务。如图3。

图3 Web 注入指示受感染用户提供他们的电话号码

在后台，注入代码将受害者输入的电话号码与Ursnif恶意软件分配给受感染PC的机器人ID、受害者使用的银行名称以及Ursnif获取的登录凭据结合起来。请注意在部分代码中使用了“Jambo”一词。Ursnif的操作员很可能编写了一个jQuery库来简化HTML文档对象模型树遍历和操作，并使用它来精心安排他们的注入。攻击者可以使用该库来定义从账户转账的金额和欺诈交易的其他参数。代码如图4。

图4向已感染Ursnif的受害者发送被Cerberus感染的URL的注入代码

二、Ursnif和Cerberus的技术分析

2.1 Cerberus的手段

通过谷歌Play商店传播的Cerberus活动在之前已经被发现，这种传播试图通过第三方来源——攻击者的域来登陆受害者的设备。在Android设备上，侧载APK的选项默认是不启用的，而从非官方来源传递恶意软件的选择可能限制了该活动在更多设备上的传播。

当Cerberus下载到新设备时，它会考虑受害者在启动感染过程时尝试访问的原始银行名称。JavaScrip函数会包含这些详细信息，以确保受害者继续看到一致的消息。在代码中，“Jambo”在整个函数中重复出现，调用了可以协调恶意软件基于脚本活动的jQuery库，如图5。

图5 JavaScript函数获取Cerberus恶意软件

Cerberus在这里仅用作允许攻击者绕过银行SMS代码验证挑战的组件。欺诈交易本身发生在受害者受感染的PC上。虽然大多数欺诈是在会话中使用Gozi SOCK代理功能进行的，但对受害者帐户的一些访问来自其他设备。

2.2 Ursnif的C2通信

Ursnif的命令和控制(C2)通信的基础也是通过相同的渠道进行的，搜集到的域名和IP如图6。ambo.getScript 将信息发送到恶意软件的注入服务器srv_dom，用于管理浏览器中间人活动。代码如图7。

图6 C2通信所用到的域名以及IP

图7 注入服务器通信

botmasters可以启动的核心命令出现在存在字符串“step=”的地方。一些可用的机器人操作有：

2.3交换IBAN

在受感染的PC上，Ursnif与浏览器挂钩，因此需要采取不同的步骤来操纵受害者在屏幕上看到的内容，并让他们点击启动木马资源的元素。Ursnif希望能够在PC浏览器上自动化启动，所以，它旨在将合法交易中的国际银行帐号(IBAN)和银行识别码(BIC)号码替换为欺诈者控制的帐户的IBAN。

为了启动其欺诈交易流程，Ursnif需要一个会被受害者点击启动的功能，因此，它尝试替换原始银行网页上的登录按钮，并植入自己的按钮之中，让受害者点击。启动的函数名为hookPay()，代码如图8。

图8 hookPay()函数-Ursnif替换合法交易中的IBAN号码

用于交换IBAN和计划交易参数的函数称为makeTrf()。如果账户余额高于3000欧元，则转移的金额将向前移动。代码如图9。

图9 makeTrf()函数-Ursnif设置欺诈交易的参数

三、安全挑战——“注入”

此活动中的配置文件针对意大利银行机构的客户，特别是商业银行服务。最重要的是，攻击者正在寻找电子钱包和电子商务凭证。Web注入在每个环节中都展现了其独特的安全挑战。例如，指示受害者提供硬令牌中的数字的注入，如图10。

图10 Web注入--社会工程安全挑战（1）

受害者被要求将他们收到的代码输入到网络注入中，并有 90 秒的延时来执行此操作，这可能也适用于目标银行或服务提供商分配的时间，如图11。

图11  Web注入--社会工程安全挑战（2）

恶意软件收到受害者的数据后，向C2服务器发送数据，包括授权令牌、短信内容、电话号码和账户登录信息。然后它会显示一个gif文件，使它看起来好像Web浏览器正在加载一些东西。几秒钟后，gif文件被隐藏，恶意软件在后台继续登录过程。为了防止受害者在最终确定之前访问该帐户并发现欺诈活动，Ursnif会在该帐户上发出维护通知。该通知可以有效阻止受害者从受感染设备访问帐户。如图12。

图12 受害者被拒绝访问其银行账户以隐藏欺诈活动

四、Ursnif-Cerberus组合带来的启示及建议

银行木马运营者一直期盼实现自动化欺诈。网上银行服务在全球范围内推出的双重身份验证和强大的交易授权方案，促使整个威胁行动者群体重新思考他们的战术、技术和程序。随着时间的推移，将移动恶意软件整合到银行木马诈骗的整体方案中已经成为一种必须，因为这是完成交易的唯一途径。目前的障碍仍然是恶意软件运营商不得不继续寻找方法感染更多的移动设备，尤其是在进入官方应用商店越来越困难的情况下。此外，引导受害者激活自动化过程的初始设置，犯罪分子可能在此失败。幸运的是，这些也是防御者可以帮助防止欺诈的地方。

Ursnif使用Cerberus作为其移动恶意软件组件是一种新出现的技术，这也给安全领域带来新的挑战，或许会成为一种新的趋势，这在银行木马领域并不奇怪。因为银行木马运营者会不断改变战术，但策略总会保持不变——如果他们希望通过应用于银行和其他在线消费服务的安全控制，他们就必须获得受害者智能手机的访问权限。使用Cerberus也是意料之中的，因为该应用代码已泄露，并为恶意软件操作员提供了使用它来对付毫无戒心的受害者的选项。

为了让恶意软件远离您的移动设备，请遵循以下建议：

1. 不要解锁智能手机，获取root权限。

2. 只从官方应用商店下载程序，不安装来历不明的应用。

3. 不要启用侧载，您的银行或服务提供商不会要求您从非官方来源加载应用程序。

4. 检查您正在下载的应用程序开发者是谁，如果看起来不可信，请中止下载。

5. 警惕过多的应用权限，只允许应用使用其所需的权限，而不是用于无关的活动。

6. 如果您的银行有新的安全要求，请致电银行官方号码进行咨询。

7. 如果您正在进行的交易因明显的“维护”问题而停止，请尝试从其他设备访问帐户或致电您的银行。

转载请注明来源：网络安全应急技术国家工程实验室

本文始发于微信公众号（网络安全应急技术国家工程实验室）：原创 | Ursnif 和Cerberus的组合实现自动化欺诈性银行转账