CamuBot为建设更强大的防御体系做好了准备

新发现的银行特洛伊木马通过选择可见安装和添加社交工程组件，摆脱了恶意软件研究人员的常规防御方法。

CamuBot上个月出现在巴西，面向公共部门的公司和组织。受害者是安装恶意软件的人，根据伪装成银行员工的人类操作员的指示。

欺骗的手法

恶意软件本身伪装成一个安全应用程序，标有银行徽标和品牌成像。

“为了进行攻击，CamuBot运营商开始进行一些基本的侦察，以找到与某个金融机构合作的企业。然后他们向可能拥有该企业银行账户凭证的人打电话，”来自IBM X的专家Force Research团队今天在博客文章中写道。

导致安装虚假安全工具的社会工程师的借口是检查银行当前安全模块的有效性。

假装是目标公司与之合作的金融机构的雇员，运营商要求受害者加载一个方便地显示过时软件的网站。

为了解决这个问题，攻击者利用管理员的权限欺骗受害者下载并安装新的在线银行活动模块。

欺诈交易入侵了受害者的系统

CamuBot的例程包括在设备上设置基于SSH的SOCKS代理并启用端口转发。这样做的目的是与设备建立双向通信隧道，允许攻击者在访问受感染的银行帐户时使用受害者的IP。

通过网络钓鱼解决了获取在线银行帐户的登录凭据的问题。安装完成后，CamuBot为目标银行启动虚假网站，提示受害者登录，从而将信息发送给攻击者。

为了绕过防病毒和防火墙检测，恶意软件将自己添加到两个安全工具中的已批准程序列表中。

CamuBot为更强大的防御做好了准备

恶意软件作者确保他们的创建在需要双因素身份验证的情况下成功。

如果第二个身份验证质询需要连接到受感染计算机的设备，CamuBot可以识别它并安装正确的驱动程序。然后要求受害者通过电话与操作员共享临时代码。

研究人员解释说：“有了一次性代码，犯罪分子可以尝试进行欺诈性交易，通过他们的IP地址进行隧道传输，使会话在银行方面看似合法。”

IBM X-Force团队表示，CamuBot的攻击是有局限性的，它针对巴西的企业，而在其他地区没有任何影响。

这些攻击很大程度上依赖于社交工程，但攻击者有很多技巧，受害者可能会因为个别麻烦而陷入困境。从包含在银行品牌成像中的安装程序到驱动程序安装，在会话中几乎没有可以攻击攻击者封面的位置。