【安全资讯】maxtrilha网银木马针对欧洲和南美银行客户

引言

研究人员发现了一种名为maxtrilha的新型网银木马，该木马的目标是欧洲和南美银行的客户。近日，来自巴西的攻击者正使用定制的网络钓鱼模板在拉丁美洲传播maxtrilha木马，攻击活动也扩展到了欧洲和葡萄牙。

简况

在葡萄牙传播的网络钓鱼模板冒充 Autoridade Tributária e Aduaneira 以引诱受害者下载 maxtrilha 第一阶段加载程序，模板如下：

maxtrilha 木马是用 Delphi 语言开发的，它是一个 x64 二进制文件，它可以绕过 AV 和 EDR 系统。在葡萄牙传播的maxtrilha恶意软件样本在第一阶段执行期间，会打开Autoridade Tributária e Aduaneira的合法网页。之后，maxtrilha木马会创建持久性，禁用Internet Explorer安全设置，以便从互联网下载第二阶段maxtrilha木马。maxtrilha木马使用一种机制，从打开的前景窗口中捕获详细信息，使其名称与银行公司相关的特定硬编码字符串匹配，启动银行窗口覆盖，部署新的有效载荷并与C2服务器实时通信。maxtrilha银行木马的攻击链如下：

总结

来自巴西的银行木马数量正高速增长，它们中的每一个都有其特殊性、TTP 等，能够避免检测并影响世界各地的大量用户。研究人员预计，在未来几周或几个月内，可能会出现新的银行木马感染。