介紹

巴西的惡意軟件日復(fù)一日地持續(xù)進(jìn)化著，這使它變得越來越復(fù)雜。如果你想了解當(dāng)前各種各樣的惡意軟件是怎么工作的，你可以直接跳到第三節(jié)。在此之前，我們將會(huì)展示巴西網(wǎng)絡(luò)犯罪者使用的技術(shù)是怎么變化的，怎么變得如此高級(jí)而復(fù)雜。

以前，分析和檢測巴西惡意軟件是非常快的事情，因?yàn)闆]有任何混淆，沒有反調(diào)試技術(shù)，沒有加密，使用明文通信，等等。代碼本身使用Delphi和Visual Basic6，由于包含很多大體積圖片，使得其文件很大，因?yàn)楹苌偈褂卯惓Ｌ幚恚M(jìn)程常常會(huì)崩潰。

現(xiàn)在情況不同了，攻擊者花費(fèi)時(shí)間和金錢來開發(fā)一套惡意軟件方案，惡意載荷通過混淆和代碼保護(hù)被完全隱藏起來。他們也使用Delphi和VB，但也開始采用像.NET之類的其它語言，代碼質(zhì)量相比以前有很大提高，很顯然，它已經(jīng)進(jìn)入了一個(gè)新的水平。

讓我們看一些例子，分析一下我們幾年前發(fā)現(xiàn)的樣本和當(dāng)前正在發(fā)生的威脅有什么不同。

曾經(jīng)發(fā)現(xiàn)的樣本

鍵盤記錄器

最初，第一個(gè)用于竊取用戶銀行信息的樣本就是鍵盤記錄器，其中很多使用了網(wǎng)上公開的代碼，為了記錄特定環(huán)境下的鍵盤會(huì)稍微做一些修改。這在那時(shí)是可行的，因?yàn)殂y行網(wǎng)站沒有使用任何保護(hù)措施來對(duì)抗這種威脅。

　　公開的鍵盤記錄器源代碼

　　惡意二進(jìn)制中的代碼實(shí)現(xiàn)

代碼非常簡單，只是使用了GetAsyncKeyState來檢查每一個(gè)鍵的狀態(tài)，然后在需要的時(shí)候記錄下來。大部分鍵盤記錄器沒有使用混淆的辦法隱藏目標(biāo)，這有助于提取攻擊的特征。

　　用來檢測導(dǎo)航欄的明文字符串

釣魚木馬

在銀行把虛擬鍵盤引入到他們的系統(tǒng)中之后，鍵盤記錄器不再那么有效了。為了繞過這種防護(hù)，巴西的壞家伙們開始開發(fā)鼠標(biāo)記錄器以及隨后的釣魚木馬。

這類惡意軟件使用了DDE（Dynamic Data Exchange動(dòng)態(tài)數(shù)據(jù)交換），用來獲取瀏覽器中當(dāng)前打開的URL，這個(gè)方法現(xiàn)在依然管用，但是大部分惡意程序都更新了他們的代碼，用OLE自動(dòng)化來代替DDE，因?yàn)槠涮峁┝烁喔呒?jí)的選項(xiàng)。

　　使用DDE獲取URL信息的代碼

在獲取當(dāng)前的URL之后，惡意軟件檢查這個(gè)URL是否在目標(biāo)列表中。如果找到了，惡意軟件就會(huì)顯示一個(gè)調(diào)用界面詢問銀行的賬戶信息。

　　Internet Explorer中顯示的釣魚木馬

在這一階段，惡意軟件不使用任何加密和編碼，所有的字符串都是明文的，分析起來很容易。

　　沒有加密和編碼的惡意軟件字符串

竊取的信息通過郵件發(fā)給攻擊者。

　　包含竊取信息的郵件

Hosts

為了在不被輕易識(shí)別出是一個(gè)釣魚木馬的條件下竊取信息，他們開始修改hosts文件，把銀行的域名解析到一個(gè)硬編碼的服務(wù)器上，這樣就可以把用戶重定向到惡意軟件的web頁面。這樣的方式，感染之后對(duì)用戶是透明的，增加了攻擊成功的可能性。

　　為了重定向?qū)懭氲絟osts文件中的數(shù)據(jù)

　　向host文件寫數(shù)據(jù)的代碼

在當(dāng)時(shí)，這種類型的攻擊非常有效，并不是所有的殺毒軟件廠商會(huì)識(shí)別并封鎖他們。現(xiàn)在我們依然能夠看到一些樣本修改host文件，但是已經(jīng)不是很有效了。

反rootkit

在這個(gè)階段，他們意識(shí)到殺毒軟件的解決方案以及網(wǎng)絡(luò)銀行的安全插件使他們開展工作越來越難。為了增加成功執(zhí)行的機(jī)會(huì)，并且在感染的機(jī)器上盡量存活得久些，他們開始在運(yùn)行惡意載荷之前先移除這些安全措施。

最好的方法當(dāng)然是使用已經(jīng)包含這些功能的有名的公開的命令行工具，其中大部分已經(jīng)被禁用了。

RegRun Partizan

這個(gè)工具是一個(gè)本地可執(zhí)行程序，在Wind32子系統(tǒng)啟動(dòng)前隨著系統(tǒng)啟動(dòng)運(yùn)行。它可以刪除文件和注冊表鍵，即便他們被內(nèi)核模式下的驅(qū)動(dòng)保護(hù)，因?yàn)樗隍?qū)動(dòng)加載到系統(tǒng)之前就運(yùn)行了。要執(zhí)行命令保存在指定的.RRI文件中，如下所示：

　　包含要?jiǎng)h除的文件的Partizan RRI腳本

The Avenger

一個(gè)用于移除文件和注冊表鍵的Windows驅(qū)動(dòng)。要執(zhí)行的命令寫在腳本中，驅(qū)動(dòng)啟動(dòng)的時(shí)候會(huì)讀取。

　　刪除安全機(jī)制的Avenger圖形界面和腳本

Gmer

Gmer是一個(gè)有名的rootkit檢測器和清除器，有很多檢測rootkit行為的函數(shù)，也可以用它的設(shè)備驅(qū)動(dòng)刪除文件。它有一個(gè)命令行接口，非常容易刪除被保護(hù)的文件。

　　使用GMER的killfile函數(shù)刪除安全機(jī)制

可以在 這篇博客中找到更多關(guān)于使用GMER卸載安全軟件的銀行木馬的信息，

Bootlader惡意軟件

在使用反rootkit工具之后，巴西的網(wǎng)絡(luò)罪犯們走得更遠(yuǎn)，開始開發(fā)他們自己的 bootloaers，這被修改后用來專門移除用戶機(jī)器上的安全機(jī)制。下載者負(fù)責(zé)安裝惡意文件然后重啟機(jī)器。在重啟后，惡意軟件bootloader能夠移除系統(tǒng)中想要?jiǎng)h除的文件。

一般地，惡意軟件替換原始的NTLDR，從Windows NT系統(tǒng)到Windows XP上的一個(gè)bootloader，將其替換成一個(gè)經(jīng)過修改的GRUB版本。

　　用于替換NTLDR的被修改的GRUB loader

這個(gè)loader會(huì)讀取menu.lst文件，該文件指向一個(gè)已經(jīng)安裝在系統(tǒng)上的惡意文件xp-msantivirus和xp-msclean。

　　包含用于執(zhí)行惡意軟件命令的參數(shù)的Menu.lst文件

當(dāng)惡意軟件執(zhí)行的時(shí)候，它會(huì)移除與安全機(jī)制相關(guān)的文件，然后恢復(fù)原來的NTLDR文件，這個(gè)文件之前被改名為NTLDR.old。

　　移除安全模塊和恢復(fù)原始NTLDR的命令

現(xiàn)在的樣本

自動(dòng)化

大部分銀行都使用機(jī)器標(biāo)識(shí)碼來阻止用竊取的信息進(jìn)行非授權(quán)操作的企圖。為了繞過這個(gè)，壞家伙們開始在感染的機(jī)器上實(shí)施惡意行為，使用Internet Explorer自動(dòng)化（以前的OLE自動(dòng)化）來操作頁面內(nèi)容。

第一個(gè)使用這種攻擊類型的樣本是瀏覽器幫助對(duì)象（Browser Helper Objects，BHOs），它可以檢測到轉(zhuǎn)賬交易，改變目標(biāo)賬戶，把錢轉(zhuǎn)到攻擊者那里而不是真正的賬戶。

后來，同樣的方法被用到了 Boleto攻擊中，它使用自動(dòng)化獲取輸入的條形碼，然后用假的替換。

因?yàn)檫@方法只在Internet Explorer上有效，惡意軟件需要強(qiáng)制用戶使用該瀏覽器訪問互聯(lián)網(wǎng)。因此，它利用一個(gè)定時(shí)器檢查被使用的Firefox或者Chrome，然后結(jié)束進(jìn)程。

　　避免使用Chrome和Firefox的代碼

當(dāng)找到了一個(gè)IE實(shí)例，惡意軟件會(huì)尋找tab頁面以讀取窗口文本，然后知道訪問了哪個(gè)URL。

　　尋找tab句柄，獲取訪問的URL

　　搜索目標(biāo)的特定標(biāo)題

由于自動(dòng)化會(huì)處理頁面的結(jié)構(gòu)，需要知道受害者是否在頁面上輸入Boleto信息（boleto是一種電子錢包付費(fèi)方式,也是一種本地支付方法,且無需支付額外費(fèi)用,常用于巴西)。為了頁面一加載就得到完整的URL，并且檢查用戶是否在目標(biāo)頁面上，它在OnDocumentComplete事件上安裝了處理函數(shù)：

　　搜索目標(biāo)的特定頁面

在確認(rèn)用戶在目標(biāo)頁面上之后，惡意軟件處理頁面結(jié)構(gòu)，在submit按鈕上安裝一個(gè)處理函數(shù)，然后它就可以在用戶提交頁面的時(shí)候取得控制權(quán)，處理輸入的內(nèi)容。

　　搜索特定的文本框，獲取輸入的數(shù)據(jù)

在收集到輸入的數(shù)據(jù)后，它被處理然后在提交頁面之前換成惡意內(nèi)容。

對(duì)于那些我們能找到的樣本，字符串混淆，調(diào)試器檢測，虛擬機(jī)檢測以及這種方式，都使得其不像其它釣魚木馬和hosts木馬那樣容易檢測。

代碼混淆和RunPE

在尋找新的規(guī)避檢測方法過程中，為了隱藏實(shí)施主要操作的代碼，巴西網(wǎng)絡(luò)罪犯開始使用混淆的方法。

在下面的代碼中，開發(fā)者加密了原始的用于下載惡意載荷的函數(shù)代碼，通過靜態(tài)分析你無法明白這個(gè)函數(shù)的意圖是什么。

　　加密下載者代碼

在運(yùn)行時(shí)，惡意軟件調(diào)用函數(shù)解密前面的代碼，然后執(zhí)行：

　　調(diào)用解密代碼

　　解密程序

正如我們在上面的代碼中看到的，解密就是一個(gè)簡單的對(duì)密字節(jié)的0×42減操作，這是一個(gè)簡單快速的隱藏代碼的方法。

　　已解密的下載者函數(shù)

為了避免被網(wǎng)絡(luò)防火墻檢測，下載的文件被它自己的加密函數(shù)加密。

　　加密的文件

　　解密的文件

使用與加密下載函數(shù)的相同的方法加密了加密函數(shù)，在解密這段代碼后，我們能找到一個(gè)融合了對(duì)異或秘鑰右移操作的基于異或的加密算法。

在解密完文件之后，不會(huì)用惡意代碼常用的正常方法執(zhí)行它。為了隱藏進(jìn)程，惡意軟件使用了一個(gè)有名的RunPE的技術(shù)，代碼會(huì)以掛起的方式執(zhí)行一個(gè)干凈的進(jìn)程（比如iexplorer.exe或者explorer.exe），然后把內(nèi)存內(nèi)容修改成惡意代碼后再執(zhí)行。

　　以掛起狀態(tài)啟動(dòng)干凈進(jìn)程的代碼

在以掛起的狀態(tài)創(chuàng)建完進(jìn)程之后，代碼會(huì)把一段新的代碼寫到內(nèi)存空間中，設(shè)置要執(zhí)行的新的EIP，然后恢復(fù)線程。

　　寫惡意代碼，恢復(fù)線程

　　儲(chǔ)存惡意文件的Internet explorer進(jìn)程

因?yàn)閻阂獯a在分配給Internet Explorer的內(nèi)存空間中運(yùn)行，使用像Process Explorer的工具來檢查發(fā)布者簽名是不可行的，因?yàn)樗麄儥z查的是進(jìn)程對(duì)應(yīng)的文件的簽名。

很明顯，他們已經(jīng)完全從使用初學(xué)者的代碼轉(zhuǎn)到更加專業(yè)的開發(fā)，我們意識(shí)到，是時(shí)候更新我們分析巴西惡意軟件的方法了。我們肯定，大部分的進(jìn)化是因?yàn)榕c其他地方的惡意軟件的接觸和交流，主要是東歐國家，我們在 這篇文章中描述過。

AutoIt Crypto

為了躲避檢測，AutoIt常用來下載和解密最終的載荷。在編譯完成后，AutoIt腳本被加密并嵌入到一個(gè)生成的二進(jìn)制文件中，這使得要分析原始的腳本就必須先提取它。

在尋找更好的隱藏最后載荷方法的過程中，巴西網(wǎng)絡(luò)罪犯用AutoIt語言開發(fā)了一個(gè)新的Crypto，解密后的載荷使用RunPE的技術(shù)被執(zhí)行。

　　AutoIt Cyrpto執(zhí)行流程

這個(gè)crypto使用兩種不同的方法保存加密的文件：第一個(gè)是使用AutoIt中已經(jīng)存在的FileInstall函數(shù)，另一個(gè)是把文件嵌入到二進(jìn)制文件的末尾。

在使用第二種方法的時(shí)候，crypto寫一個(gè)關(guān)鍵字符串，用來標(biāo)記加密載荷內(nèi)容的起始位置，后面就可以找到要解密的內(nèi)容。在下面的樣本中，關(guān)鍵字用的是“Sei que ganharei 20K”的縮寫版，意思是“我知道我會(huì)賺R$20,000”。

　　標(biāo)記加密載荷起始的關(guān)鍵字符串

　　AutoIt Crypto主代碼

在讀取加密載荷后，它使用解密密鑰“VENCIVINICI”解密內(nèi)容，然后使用RunPE執(zhí)行惡意代碼。

解密函數(shù)的代碼不是用AutoIt寫的，它是用C語言寫的。在編譯后，作為一個(gè)字符串包含到代碼中，然后映射到內(nèi)存中，使用CallWindowProc API執(zhí)行。

　　解密函數(shù)的實(shí)現(xiàn)

我們發(fā)現(xiàn)這個(gè)crypto使用了下面的加密和壓縮算法。

RC4

XXTEA

AES

LZMA

ZLIB

在惡意軟件開發(fā)時(shí)使用AutoIt并不是一個(gè)新鮮的事情，但是，在2014年中期，我們在巴西發(fā)現(xiàn)了一個(gè)使用AutoIt攻擊的高峰，如下圖所示：

　　Trojan.Win32.Autoit:在巴西受攻擊的用戶數(shù)量

MSIL數(shù)據(jù)庫

另一個(gè)最近出現(xiàn)的惡意軟件類型是惡意軟件用.NET代碼代替Visual Basic 6.0和Delphi，順應(yīng)了我們看到的 歷史潮流。找到一個(gè)用.NET寫的下載者并不難。但是當(dāng)我們發(fā)現(xiàn)其中一些樣本并沒有使用一般的函數(shù)下載載荷時(shí)，一些 Trojan-Banker.MSIL.Lanima樣本吸引了我們的注意力。

　　下載函數(shù)

正如我們在上圖中看到的，這個(gè)樣本并沒有使用任何下載函數(shù)，因?yàn)樗褂昧薙QL Server來儲(chǔ)存二進(jìn)制的內(nèi)容，它只是使用SQL命令獲取內(nèi)容然后保存到硬盤。

為了隱藏與惡意軟件的主要行為相關(guān)的文本，字符串被用base64編碼并且使用3DES算法加密。

　　解密函數(shù)

這個(gè)惡意軟件家族在巴西和中國非常流行：

　　MSIL Crypto

與AutoIt Crypto使用相同的方法，壞家伙們又開發(fā)了另一個(gè)crypto，這次使用.NET語言。提取真正的可執(zhí)行文件的過程與AutoItCrypto是一樣的，但是它有一個(gè)中間模塊負(fù)責(zé)提取最后的載荷。

主模塊使用.NET代碼，主模塊的主函數(shù)的功能是提取并加載嵌入的DLL。

　　.NET Crypto執(zhí)行流程

　　crypto主函數(shù)

正如我們看到的，上面的函數(shù)會(huì)使用字符串“cdpapxalZZZsssAAA”作為分隔符分割二進(jìn)制內(nèi)容，并且使用第一分塊，此分塊包含了加密的Loader DLL代碼。

　　Loder DLL的加密內(nèi)容

現(xiàn)在通過調(diào)用名為“fantasma”(英文為“ghost”)的函數(shù)解密它，在論壇上這個(gè)crypto的官方名稱是PolyRevDecrypt，這其實(shí)是把要加密的字節(jié)，要加密的緩沖區(qū)的最后一個(gè)字節(jié)，以及函數(shù)提供的密鑰的其中一個(gè)字節(jié)做一個(gè)異或操作。

　　解密函數(shù)

數(shù)據(jù)被解密之后，代碼會(huì)使用“docinho” (英文為“candy”)函數(shù)加載并執(zhí)行。

　　加載和執(zhí)行Dll的函數(shù)

這個(gè)庫的代碼與主可執(zhí)行文件的代碼幾乎是相同的，除了它使用的是分割內(nèi)容的第二個(gè)部分。

　　Loader DLL主函數(shù)

RAT

為了降低網(wǎng)絡(luò)攻擊造成的損失，銀行在在線交易中使用了兩個(gè)因素的認(rèn)證，在原來的基礎(chǔ)上，比如機(jī)器標(biāo)識(shí)碼，使用了硬件token和短信驗(yàn)證碼。為了解決這個(gè)問題，網(wǎng)絡(luò)罪犯創(chuàng)建了一個(gè)遠(yuǎn)程管理工具，用于請(qǐng)求網(wǎng)銀交易需要的信息。

　　RAT執(zhí)行流程

瀏覽器監(jiān)控者（browser watcher）會(huì)監(jiān)控用戶的瀏覽器，觀察是否訪問了目標(biāo)銀行，如果有，它會(huì)解壓縮并執(zhí)行RAT客戶端，并且通知C&C有新的感染。

　　網(wǎng)銀訪問監(jiān)視器

這個(gè)惡意軟件使用的字符串被他們自己的加密代碼加密。在解密后，它會(huì)識(shí)別出目標(biāo)和代碼的重要部分。

　　解密的字符串

對(duì)于這種感染方式，一般的，壞家伙們會(huì)構(gòu)建一個(gè)管理攻擊行為的模式。這里我們能夠看到在同一天感染的機(jī)器的數(shù)量，請(qǐng)注意，這個(gè)數(shù)字意味著惡意軟件控制的機(jī)器中訪問網(wǎng)銀的用戶的數(shù)量。

　　展示感染用戶列表的C&C面板

RAT客戶端會(huì)鏈接服務(wù)端，提醒攻擊者一個(gè)新的受害者訪問了網(wǎng)銀系統(tǒng)。然后，就可以進(jìn)行實(shí)時(shí)攻擊。

　　顯示一個(gè)新的被害者連接的RAT服務(wù)器

在這個(gè)階段，攻擊者需要等待用戶登錄，然后進(jìn)行攻擊。當(dāng)用戶已經(jīng)登錄了，攻擊者可以看到用戶的屏幕，鎖定它并且控制執(zhí)行流，同時(shí)詢問有助于他竊取賬號(hào)的特定信息，比如：

Token

Access card code

Date of birth

Account password

Internet banking password

Electronic signature

為了防止用戶發(fā)現(xiàn)計(jì)算機(jī)被遠(yuǎn)程控制了，這個(gè)RAT有一個(gè)函數(shù)用來模擬銀行安全插件升級(jí)的樣子，顯示一個(gè)進(jìn)度條，禁止所有的用戶交互行為。同時(shí)，由于覆蓋的屏幕不會(huì)影響攻擊者，攻擊者可以使用活動(dòng)的瀏覽器區(qū)域執(zhí)行銀行操作。

　　模擬升級(jí)鎖定屏幕

如果確認(rèn)交易需要一些信息，比如：短信驗(yàn)證碼，攻擊者可以詢問受害者，受害者以為是為了完成升級(jí)需要這些信息。

　　詢問token碼的屏幕

一旦用戶提供了信息，攻擊者就可以將之輸入到網(wǎng)銀屏幕中，繞過交易中使用的兩個(gè)認(rèn)證因素。

　　從受害者接收的信息

勒索軟件

巴西網(wǎng)絡(luò)罪犯不只使用銀行惡意軟件，他們也探索其它的攻擊類型，包括勒索軟件。幾年前，我們發(fā)現(xiàn)了 TorLocker，它在惡意代碼中包含了一些說明開發(fā)者來自巴西的信息。

　　包含指明作者來自巴西的字符串的代碼

正如上圖所示，我們發(fā)現(xiàn)了藍(lán)色加亮的句子：“Filho de Umbanda no cai!” (“Umbanda”的兒子決不會(huì)倒下)。Umbanda是巴西異教區(qū)。紅色標(biāo)記的名稱是作者的昵稱，它也常使用.d74作為加密的文件。這個(gè)用戶在地下論壇非常活躍，尋找巴西的惡意軟件服務(wù)。

我們也發(fā)現(xiàn)了其它線索，比如使用巴西的服務(wù)器獲取受害者的IP，用以通知感染事件。

　　請(qǐng)求一個(gè)巴西的服務(wù)器來獲得受害者的IP

幾個(gè)月前，我們發(fā)現(xiàn)了另一個(gè)基于Hidden Tear源代碼的勒索程序，它被改造用于攻擊巴西用戶，與初始程序攻擊英語和日語用戶不同。

　　顯示葡萄牙語信息的受害者機(jī)器，想要獲取文件需要支付。

為什么他們在進(jìn)化

我們有足夠的證據(jù)表明，巴西的網(wǎng)絡(luò)罪犯與東歐的團(tuán)伙有合作，包括Zeus，SpyEye和其它這一地區(qū)產(chǎn)生的惡意軟件。惡意軟件作者增加新的技術(shù)到他們的作品中，獲得靈感，復(fù)制東歐的惡意軟件的特性，這一合作直接影響了巴西本地惡意軟件的質(zhì)量和威脅水平。巴西的網(wǎng)絡(luò)罪犯不僅發(fā)展他們的代碼質(zhì)量，而且使用國外的網(wǎng)絡(luò)犯罪基礎(chǔ)設(shè)施。

我們在使用 惡意PAC腳本的惡意軟件發(fā)展中第一次看到了這一合作關(guān)系的跡象。2011年，這一技術(shù)在巴西的惡意軟件中迅猛采用，后來俄羅斯的銀行木馬 Capper開始采用這個(gè)技術(shù)。這一合作還在繼續(xù)，巴西的網(wǎng)絡(luò)罪犯開始使用東歐的銀行木馬的基礎(chǔ)設(shè)施，Trojan-Downloader.Win32.Crishi第一個(gè)使用DGA域名，由一個(gè)東歐的公司所有。 Boleto惡意軟件也大量使用fast flux域名，以防C2s被拆除，我們看到了其使用“bagaa” (bagasse葡萄牙語)域名，該域名使用匿名服務(wù)注冊，其與犯罪軟件和boleto軟件相關(guān)聯(lián)，每一個(gè)請(qǐng)求解析到不同的IP。

　　“bagaa”域名：東歐的fast flux和 bulletproof

其它說明他們合作的跡象是，巴西網(wǎng)絡(luò)罪犯常會(huì)出現(xiàn)在俄羅斯或者東歐的地下論壇中。經(jīng)常發(fā)現(xiàn)以下事情，巴西網(wǎng)絡(luò)罪犯在俄羅斯地下論壇尋找樣本，購買犯罪軟件和ATM/PoS惡意軟件，或者商務(wù)談判和提供他們的服務(wù)。這一合作的結(jié)果可以在巴西惡意軟件中采用的新技術(shù)的發(fā)展中看出來。

　　在俄羅斯地下論壇談判的巴西惡意軟件TorLocker的作者

這些事實(shí)表明了，巴西網(wǎng)絡(luò)罪犯是如何通過與歐洲伙伴合作引進(jìn)新技術(shù)的。我們相信這只是冰山一角，隨著巴西網(wǎng)絡(luò)罪犯們探索和尋找新的攻擊商業(yè)和普通個(gè)人的方法，這種交流會(huì)越來越多。

結(jié)論

巴西的網(wǎng)絡(luò)犯罪在最近幾年發(fā)生了激烈的變化，它從一個(gè)利用公開源代碼構(gòu)建的簡單的鍵盤記錄器轉(zhuǎn)向一個(gè)定制的能使用受害主機(jī)實(shí)施完整攻擊的遠(yuǎn)程管理工具。

惡意軟件以前在執(zhí)行后立即顯示一個(gè)釣魚的屏幕，現(xiàn)在，完全以反應(yīng)的方式執(zhí)行，等到一個(gè)有效的會(huì)話后才開始工作。

這意味著為了開發(fā)他們的惡意代碼網(wǎng)絡(luò)罪犯投入了大量的金錢和時(shí)間，增強(qiáng)反調(diào)試技術(shù)，使惡意軟件長時(shí)間運(yùn)行，不被檢測到。

正如我們知道的，他們在和東歐，俄羅斯的網(wǎng)絡(luò)罪犯們聯(lián)系，他們交換信息，惡意軟件源碼，以及在攻擊中會(huì)用到的服務(wù)。我們可以看到，巴西使用的許多攻擊是在俄羅斯的惡意軟件中首次發(fā)現(xiàn)的，并且巴西使用的技術(shù)后來也會(huì)用到俄羅斯的攻擊中。

基于此，我們預(yù)測將會(huì)發(fā)現(xiàn)使用代碼混淆，反調(diào)試，加密算法以及安全通信技術(shù)的巴西的惡意軟件，這將使我們的工作變得比現(xiàn)在更艱難。