虚假聊天软件中内藏远控程序,二次打包嵌木马详析

admin
admin
admin
102346
文章
87
评论
2023年4月17日01:45:39评论112 views字数 2118阅读7分3秒阅读模式
概况 
近日,360数字安全大脑监测发现多起利用钓鱼网站对特定用户进行攻击的安全事件。攻击者通过精心制作的钓鱼网站,诱骗目标用户下载安装被二次打包的软件安装程序。而这些安装程序则在二次打包的过程中向其中嵌入了远控木马程序用以窃取用户隐私数据并进行进一步控制。         
 样本分析 
本次捕获到被钓鱼站点进行二次打包的软件有:letstalk、CloudChat、Potato、Telegram等各类知名软件。下面以虚假的“泡泡聊天”软件的钓鱼攻击为例进行分析说明。
钓鱼黑客团伙在部署本轮攻击的过程中,不仅对钓鱼网站的页面进行了精心的涉及,同时也对其传播进行了不遗余力的SEO优化,以此来提高钓鱼网站在搜索引擎中的排名——我们举例的“泡泡聊天”钓鱼站目前就在某搜索引擎中排在了第二位。
         虚假聊天软件中内藏远控程序,二次打包嵌木马详析
而在该钓鱼网站中,受骗用户会下载到我们本次要分析的木马样本。最初被下载到的是一个以“PaoPao.rar”命名的压缩包,而压缩包内则是名为“PaoPao.msi”的安装包程序。
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
         
  木马部署  
PaoPao.msi就是一款被潜入了远控木马的二次打包安装程序。该程序在被安装时,除了释放正常“泡泡”聊天软件外,还会释放远控木马。同时其还会在开始菜单目录添加快捷方式文件(lnk文件)用以指向其释放的AliTask.exe(被利用的合法程序),以此来进一步迷惑用户并诱导用户点击运行。
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
而这个AliTask.exe一旦被执行,便会被利用去启动同样是被安装包释放出来的名为fixaliww.exe的程序(自动化工具,本身并非恶意软件)。
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
fixaliww.exe被执行后则会读取同路径下的icafe8.ini配置文件。而这个icafe8.ini配置文件的内容如下:
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
该配置文件中所出现的两个bat脚本内容为:
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
de.bat脚本内容(右侧为去混淆整理后代码)
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
ds.bat脚本内容(右侧为去混淆整理后代码)
fixaliww.exe会根据配置文件的指令启动两个bat文件,而bat则会把dat文件拼接成完整的可执行程序并执行。
此外,根据配置文件中所指定的逻辑:如果被攻击的机器存在360安全卫士的时候,会启动updeter.exe(合法程序)+dskinlite.dll(恶意动态链接库程序)的组合来试图避免被查杀;而在机器中没有360安全产品时,则会直接执行远控木马程序supdeter.exe。
在完成以上部署操作后,木马会将lnk重新改为指向泡泡聊天软件的主程序以掩人耳目。

 木马执行  



在前面一系列的“铺垫”后,最终木马程序(无论哪种形式)被执行后,会从一下URL中下载恶意载荷:
http[:]//103[.]59.103.16/5326/cdyxf.png
而该载荷被下载后会直接在内存中被加载执行,其功能则是一款典型的远控木马——具有关闭设备、获取键盘记录、录音、截屏、下载程序并运行等一系列常用控制功能。值得注意的是:该木马还会有针对性的窃取一系列QQ相关信息。
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
该木马会获取受害用户机器中的QQ相关信息,并利用这些本地信息通过QQ的登录接口模拟本地QQ软件的网络请求,以此从服务器直接拉取到一些较为隐私的QQ数据。
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
如果受害机器的QQ正在运行。木马就能获取到一些已登录QQ的本地信息,再通过这些信息构造数据,进一步从网络接口中获取到:已加入的群信息、群好友信息、群成员列表等数据。利用这些信息,攻击者可以对受害者及其联系人发起进一步的钓鱼或诈骗等,而当程序获取到QQ的本地权限之后,还可以利用受害者的QQ发布虚假消息,危害及其严重。

 其他关联   

通过进一步的分析,发现该团伙还高仿letstalk、CloudChat、Potato、Telegram等聊天软件的官网页面进行钓鱼诱导。
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
         
安全防护 
360对该木马进行查杀,已安装有360安全卫士的用户不必担心。
虚假聊天软件中内藏远控程序,二次打包嵌木马详析
除了针对性的安全防范,360数字安全建议广大政企用户建立全面的数字安全防御体系,正确安装安全防护软件,以免重要数据泄露而产生不可逆的损失。
作为数字安全的领导者,360基于以“看见”为核心的安全运营服务体系,打造了一整套数字安全防御解决方案,从“云、管、端、地、险”五个维度出发,利用360本地安全大脑、360 EDR、360NDR等多款安全产品及服务,完整覆盖事前、事中、事后三个关键阶段,帮助用户感知风险、看见威胁、抵御攻击,实现多方位、全流程、体系化的勒索防护。未来,360将持续深耕安全防护,助力广大政企机构构建起体系化安全能力。
         
IOCs

HASH  

65cce94892338ccd05221e587f356106
369a48d815db00331d640fb1271b4c0e
f715bec7a53c9004a527554eaf9f1a04

URL  

103[.]59.103.16/5326/cdyxf.png
154[.]23.182.66:13670
hxxps://www.letstalik[.]com/
hxxps://cluodchat[.]com/
hxxps://paopaoim[.]com/

原文始发于微信公众号(安全客):虚假聊天软件中内藏远控程序,二次打包嵌木马详析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月17日01:45:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   虚假聊天软件中内藏远控程序,二次打包嵌木马详析https://cn-sec.com/archives/1668584.html

发表评论

匿名网友 填写信息