Amavaldo: nový typ malware kombinuje backdoor, sociální inženýrství a trojského koně

Typické znaky Amavaldo

Krom modulární struktury je dalším poznávacím znakem způsob práce s řetězci. V obrázku níže jsou vyznačeny různé řetězce. Takováto práce s řetězci využívá přímo trojský kůň. Kód obsahuje klíč (zelená), šifrovaná data (modrá) a také nadbytečné řádky (červená), které nejsou nijak využité. 

Útočníci pomocí malware nejprve získávají následující informace o oběti:

• identifikace počítače a operačního systému,
• nainstalovaný druh bankovní ochrany.

Novější verze komunikují prostřednictvím SecureBridge, což je knihovna v Delphi, která poskytuje SSH/SSL připojení.

Stejně jako řada dalších trojských koní Amavaldo podporuje několik backdoorových  příkazů, například je schopen:

• získat snímek obrazovky,
• zachytit fotografie oběti pomocí webkamery,
• uložit stisknuté klávesy,
• stáhnout a spustit další software,
• zakázat přístupu zařízení k některým webovým stránkám bank,
• simulovat činnosti myši a klávesnice,
• automaticky se aktualizovat.

Amavaldo používá k infiltraci zařízení oběti promyšlenou techniku, která je podobná chování Windows UAC. Jakmile malware zaznamená okno elektronického bankovnictví, vytvoří snímek obrazovky a nastaví ho jako pozadí novému celoobrazovkovému oknu, které vše překryje. Následně zablokuje plochu počítače a některé klávesové příkazy a zobrazí falešné okno, kterého se oběť jen těžko zbavuje.

Když jsme na malware narazili poprvé, cílil výhradně na brazilské banky. V dubnu 2019 ale rozšířil svůj záběr i na Mexiko. Podle naší analýzy se útočníci nyní více zaměřují na Mexiko, přestože i nadále operuje v Brazílii.

Jak se Amavaldo šířil v Brazílii

Níže popsanou postup šíření Amavaldo jsme v Brazílii zaznamenali poprvé v lednu 2019. Vývojáři malware použili k distribuci technologie MSI, Visual Basic Script (VBS), XSL a PowerShell.

Celý proces má čtyři fáze. Nejprve se spustí MSI installer, který se tváří, jako by instaloval Adobe Acrobat Reader DC. Využívá dvě legitimní aplikace, které kontrolují připojení k internetu a detekují virtuální prostředí. Jakmile je instalátor spuštěn, využije přibalený VBS. Ten po rozbalení spustí druhou fázi, která zneužije WMIC.exe (součást Microsoft Windows) ke spuštění fáze třetí (XSL script). Ta obsahuje PowerShell script, který konečně stáhne archiv s komponenty Amavaldo. Aby detekční systémy neodhalily instalace, naplánuje si instalaci jako úlohu s názvem „GoogleBol“.

V archivu se stáhnou dva druhy malware. Jeden z nich libcurl[.dll] neslouží k provedení útoku Amavaldo, ale automaticky generuje velké množství e-mailových adres pomocí platformy BOL. K těmto adresám se vytvoří i hesla a jejich seznam se pošle útočníkům. Věříme, že tímto krokem si útočníci připravovali pole pro novou spamovou kampaň.

Šíření Amawaldo v Mexiku

V Mexiku začínal distribuční řetězec podobným instalátorem MSI. S tím rozdílem, že obsahoval vložené soubory, které již slouží k přímému stažení. Instalace v tomto případě končila falešnou chybovou hláškou. Krátce po ní je stažen malware.

Aby se malware vyhnul detekci, naplánuje úlohu (podobně jako v případě distribuce v Brazílii) a pojmenuje jej „Adobe Acrobat TaskB“. Následně se stáhnou veškeré komponenty Amavaldo a spustí trojský kůň.

Myslíme si, že touto metodu a pomocí spamu se útočníci zaměřují na firmy. Soubory, které celý proces spustí, se jmenují „CurriculumVitae[…].msi“ nebo „FotosPost[...].msi“. Domníváme se, že takto podvodníci klamou uživatele, aby na odkaz v e-mailu klikli v domnění, že si tak stáhnou životopis nového uchazeče o zaměstnání. Jelikož soubor by měl být v PDF, jeví se instalace Adobe Acrobat Reader DC jako logický a legitimní krok.

Tvůrci malware použili zkracovač URL bit.ly, můžeme tak dodatečně sledovat jejich kampaň. Ze statistiky je patrné, že Mexiko je pro útočníky velmi atraktivní region. Fakt, že jako zdroj je nejčastěji uváděn e-mail vypovídá o tom, že se malware šířil právě v rámci spamové kampaně.