来自 Trustwave 的高级研究员 Rodel Mendrez 警告，又有新一轮的垃圾邮件正在肆虐巴西的相关机构组织，这些邮件中包含名为 “comprovante.chm” 的附件，它被用来传播银行木马。

Rodel Mendrez 表示，木马传播过程中用到的多阶段感染技术能够有效防止杀软的检测，目前在测的 60 款 AV 产品中只有 8 款能够识别出此恶意 CHM 附件。

攻击者借助了微软的帮助文件格式 CHM，此类文件是交互式的，可执行 JS 脚本，因此能够访问外部的 URL。在最近的几起攻击事件中，包括 11 月份由 Silence 团伙发动的攻击，都可以看到 CHM 文件的影子。

“一旦用户打开恶意的 CHM 文件，那么就会转而执行一段 PowerShell 命令，其作用是下载第二阶段的 PowerShell 脚本。接着通过创建计划任务来保证用户登录时运行该恶意程序。” Mendrez 介绍说。“通过解压 CHM 文件，可以得到包含的 HTML 对象，其中就包括了Load_HTML_CHM0.html。

当 hh.exe 程序加载这个 HTML 对象时，将运行一个名为 open() 的 JS 函数用于对数据进行 Base64 和 XOR 双重解码。解码过程将还原出有效的 ClassID，进而运行恶意的 PowerShell 脚本。PowerShell 命令将在后台静默运行，窗口样式也被设成了隐藏，因此不易被察觉。最后下载 Google Sites 中托管的第二阶段 PowerShell 脚本。”

Mendrez 解释说：“木马文件会先下载到 “%Appdata%\Sysinit” 目录，然后再被复制到 “%Appdata%\SysRun” 目录，关键的执行文件包括 Server.bin、cmd.bin、XSysInit.bin（捕获鼠标及键盘活动）和 CRYPTUI.DLL（下载另外的 payload）。”

“接下去会包含三个阶段的计划任务。1）用户登录时会运行恶意软件；2）通过恶意 PowerShell 脚本强制目标系统重启；3）执行 Server.bin，它会加载 CRYPTUI.DLL 并生成恶意代码注入到 iexpress.exe 进程中，最后获得用户名、计算机名等系统信息回传给控制端服务器。” Mendrez 写道。