针对国内中小企业公司财务人员的钓鱼盗号木马附带样本

  • A+
所属分类:安全文章

针对国内中小企业公司财务人员的钓鱼盗号木马附带样本

文章来源: 黑子的自我拯救 

2021年4月28下午6.40分左右,财务人员QQ收到一封名为:【电子票据】04200190011100010120.zip的邮件信息。

 

发送人QQ昵称为:幺妹子 QQ号:10314xxxxx

 

通过对QQ号码的侦查,该QQ号的主人为会计专业,在某公司任财务人员,被诈骗团伙钓鱼攻击,获取到QQ号密码后,通过她的邮箱发送精准的针对企业财务公司的钓鱼攻击活动。


因为公司财务人员,经常收到各种票据,所以一个没注意,点击了文件内容。

还好我们在同一个办公室,在财务说鼠标动不了的时候,我们察觉到邮件可能为钓鱼木马,第一时间关机,拔掉网线,从新修改了财务人员的QQ密码,杜绝后续存在的隐患,前后用了不到两分钟,关机拔网线一分钟不到。


在这里主要是怕这是个远控木马,且财务电脑处在内网环境,先阻隔掉危险因素。


估计是利用该木马,获取财务人员的信息,然后获取公司管理层的一些信息,然后冒充领导什么的,对公司财务进行诈骗转款,相信大家都知道,我就不对这些诈骗套路进行说明了。


解压木马后,发现该钓鱼木马进行一些针对性的伪装。


伪装一.替换图标


针对国内中小企业公司财务人员的钓鱼盗号木马附带样本


该木马程序将exe程序图标,伪装成了办公文件图标,不仔细看只会当成办公文档打开。


伪装二.利用桌面能看到的字节限制,进一步伪装


程序发送过来为zip压缩包格式,如图:


针对国内中小企业公司财务人员的钓鱼盗号木马附带样本 针对国内中小企业公司财务人员的钓鱼盗号木马附带样本


在完成解压以后,肉眼看向桌面的解压后文件是这样的。


针对国内中小企业公司财务人员的钓鱼盗号木马附带样本


利用显示的字节不全,让人放松警惕,看不到后面的exe后缀,从而当成办公文本打开。


对该木马程序进行了分析:


该木马程序为盗号木马程序,针对性的进行了免杀处理。


360查杀:


针对国内中小企业公司财务人员的钓鱼盗号木马附带样本


火绒查杀:


针对国内中小企业公司财务人员的钓鱼盗号木马附带样本

分析该木马的功能:


首先沙盒打开木马,发现正在运行的QQ进程被关闭了。


然后出现错误显示来迷惑人


针对国内中小企业公司财务人员的钓鱼盗号木马附带样本


为了展示该木马读取当前登录的QQ号信息,我登录了我的小号8968464的QQ。

来自:大圣云沙箱



针对国内中小企业公司财务人员的钓鱼盗号木马附带样本


然后,该木马程序会读取当前登录QQ号信息,载入进去,弹出重新登录的钓鱼框。


针对国内中小企业公司财务人员的钓鱼盗号木马附带样本


在这里,该木马程序很有意思,就是,在你输入密码点击登录之前,

你的鼠标移动轨迹只能在这个重新登录界面移动,让受害者很惊慌,在惊慌下输入密码。


并且该木马程序,在输入密码点击登录后,进程不会消失,还会第二遍弹出,

让你在输入一遍,木马程序的作者为了能钓鱼成功,还是花了心思的。


附上大圣云沙箱的样本地址,各位有兴趣,请自行下载研究:

https://sandbox.freebuf.com/reportDetail?fileSha1=8568780e185758699c4326b84af2ea892d46642d


木马运行视频:



就这样,没其他的了,我分析个锤子,放进沙箱等结果,提交火绒等查杀。


精彩推荐
针对国内中小企业公司财务人员的钓鱼盗号木马附带样本








微信被爆出存在高危0day漏洞!新版本已修复,看到尽快更新!



针对国内中小企业公司财务人员的钓鱼盗号木马附带样本




湖南电信网络又崩了?疑似遭到境外黑客DDOS攻击,官方回复光缆故障




针对国内中小企业公司财务人员的钓鱼盗号木马附带样本




2021,越自律,越自由!网络安全就业班开班通知!



针对国内中小企业公司财务人员的钓鱼盗号木马附带样本



多一个点在看

针对国内中小企业公司财务人员的钓鱼盗号木马附带样本

多一条小鱼干

本文始发于微信公众号(黑白之道):针对国内中小企业公司财务人员的钓鱼盗号木马附带样本

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: