文章来源: 黑子的自我拯救
2021年4月28下午6.40分左右,财务人员QQ收到一封名为:【电子票据】04200190011100010120.zip的邮件信息。
发送人QQ昵称为:幺妹子 QQ号:10314xxxxx
通过对QQ号码的侦查,该QQ号的主人为会计专业,在某公司任财务人员,被诈骗团伙钓鱼攻击,获取到QQ号密码后,通过她的邮箱发送精准的针对企业财务公司的钓鱼攻击活动。
因为公司财务人员,经常收到各种票据,所以一个没注意,点击了文件内容。
还好我们在同一个办公室,在财务说鼠标动不了的时候,我们察觉到邮件可能为钓鱼木马,第一时间关机,拔掉网线,从新修改了财务人员的QQ密码,杜绝后续存在的隐患,前后用了不到两分钟,关机拔网线一分钟不到。
在这里主要是怕这是个远控木马,且财务电脑处在内网环境,先阻隔掉危险因素。
估计是利用该木马,获取财务人员的信息,然后获取公司管理层的一些信息,然后冒充领导什么的,对公司财务进行诈骗转款,相信大家都知道,我就不对这些诈骗套路进行说明了。
解压木马后,发现该钓鱼木马进行一些针对性的伪装。
伪装一.替换图标
该木马程序将exe程序图标,伪装成了办公文件图标,不仔细看,只会当成办公文档打开。
伪装二.利用桌面能看到的字节限制,进一步伪装
程序发送过来为zip压缩包格式,如图:
在完成解压以后,肉眼看向桌面的解压后文件是这样的。
利用显示的字节不全,让人放松警惕,看不到后面的exe后缀,从而当成办公文本打开。
对该木马程序进行了分析:
该木马程序为盗号木马程序,针对性的进行了免杀处理。
360查杀:
火绒查杀:
分析该木马的功能:
首先沙盒打开木马,发现正在运行的QQ进程被关闭了。
然后出现错误显示来迷惑人
为了展示该木马读取当前登录的QQ号信息,我登录了我的小号8968464的QQ。
来自:大圣云沙箱
然后,该木马程序会读取当前登录QQ号信息,载入进去,弹出重新登录的钓鱼框。
在这里,该木马程序很有意思,就是,在你输入密码点击登录之前,
你的鼠标移动轨迹只能在这个重新登录界面移动,让受害者很惊慌,在惊慌下输入密码。
并且该木马程序,在输入密码点击登录后,进程不会消失,还会第二遍弹出,
让你在输入一遍,木马程序的作者为了能钓鱼成功,还是花了心思的。
附上大圣云沙箱的样本地址,各位有兴趣,请自行下载研究:
https://sandbox.freebuf.com/reportDetail?fileSha1=8568780e185758699c4326b84af2ea892d46642d
就这样,没其他的了,我分析个锤子,放进沙箱等结果,提交火绒等查杀。
微信被爆出存在高危0day漏洞!新版本已修复,看到尽快更新!
湖南电信网络又崩了?疑似遭到境外黑客DDOS攻击,官方回复光缆故障
2021,越自律,越自由!网络安全就业班开班通知!
多一个点在看
多一条小鱼干
本文始发于微信公众号(黑白之道):针对国内中小企业公司财务人员的钓鱼盗号木马附带样本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论