研究人员发现恶意软件活动滥用正常的VMware文档来散播银行木马

　　原标题:研究人员发现一波恶意软件活动滥用正常的VMware文档来散播银行木马

　　为了不被发现，这波活动的幕后来源使用了多种手法，在感染受害者时重新导向，还实作了各种反分析技术。 这个恶意软件是用Delphi撰写的， ...

　　Cisco的研究人员发现一波恶意软件活动滥用正常的VMware文档来散播银行木马。

　　为了不被发现，这波活动的幕后来源使用了多种手法，在感染受害者时重新导向，还实作了各种反分析技术。

　　这个恶意软件是用Delphi撰写的，这对于银行木马来讲算新奇。

　　这波活动主要针对巴西的使用者，攻击者使用恶意的垃圾邮件，其中包含以葡萄牙语写成的信息，试图说服受害者打开伪装成Boleto发票的恶意HTML附件。

　　Talos安全发布的分析：『Talos最近观察到了一项针对南美洲的新攻击活动，即巴西。这一波活动的重点是各家南美州的银行，试图窃取使用者的凭证，以便为幕后的黑客提供非法经济利益。』

　　『攻击者使用葡萄牙语写的电子邮件，这使得用户看起来更像是合法的 - 接收当地语言的电子邮件会使攻击者有更高的可能性到达目标，并说服受害者打开恶意附件。』

　　HTML文件首先重新导向到短网址goo.gl，然后透过该服务进行第二次重新导向到包含名为BOLETO_09848378974093798043.jar的JAR文档的RAR压缩文件。

　　如果使用者点击JAR文档，java将执行恶意软件，并开始安装银行木马。

　　Java程序代码首先设定恶意软件的工作环境，然后从远程服务器下载其他文档。

　　一旦二进制文档被Java程序代码下载，它将重新命名它们并从VMware执行合法的文档（使用VMware数字签名），以试图欺骗安全软件信任它将加载的函式库。

　　但是，这些函式库其中之一是个名为vmwarebase.dll的恶意文档，用于在explorer.exe或notepad.exe中注入并执行程序代码。

　　分析文章继续提到：『这种方法背后的想法是，一些安全产品具有以下信任链：若第一个文档被信任（在我们的示范中为vm.png），则加载的函式库将被自动信任，则加载技术可以绕过一些安全检查。』

　　『vmwarebase.dll程序代码的目的是将恶意代码注入并执行该使用者账号中的explorer.exe或notepad.exe程序。』

　　这个银行木马的主要模块实作了许多功能，其中之一就是能够终止分析工具并建立自动启动的机码值。

　　银行木马利用网络注入来诱骗用户输入其登入凭证。

　　主模块加载的二进制文档之一是使用商业Themida包装的，这使得分析非常困难。

　　更多细节，像是感染指标，可在Cisco Talos发布的报告中找到。