点击上方蓝字关注我们概述
活动详情
包含.zipx恶意附件的电子邮件如下图所示:
图1. 包含.zipx附件的电子邮件示例
电子邮件声称来自某组织的采购经理,如果忽略其中所包含的附件,这些电子邮件看起来就像是普通的垃圾邮件。附件的文件名为“NEW PURCHASE ORDER.pdf*.zipx”,其实际上是一个图像二进制文件,带有附加的RAR数据。
图2. 使用Hiew工具查看附件的内容
如果附件成功规避了电子邮件网关检测,则下一个难题就是如何感染受害者的设备,该设备上需要具有一个能够对附件中的可执行文件进行解压的工具。研究人员尝试了几种解压工具以提取EXE文件,结果如下表所示:
使用WinZip和WinRAR对之前和现在的.zipx文件进行解压时,会产生相似的结果。WinZip不能对两个样本中的任何一个进行解压,而WinRAR则成功提取了两个样本中所包含的EXE文件。
图3. NEW PURCHASE ORDER.pdf.zipx中包含的可执行文件
有趣的是,7Zip也可以对最新发现的.zipx样本进行解压。虽然7Zip在一开始尝试解压ZIP文档时失败了,但是随后7Zip成功识别出.zipx文件的内容,并成功进行解压。
图4. 使用7Zip工具对NEW PURCHASE ORDER.pdf.zipx附件进行解压
解压后得到的可执行文件名为“NEW PURCHASE ORDER*.exe”,该文件名与.zipx附件名类似。此外,.zipx附件的图标实际上就是压缩文件中的可执行文件的图标。
对EXE文件的分析表明它们是NanoCore RAT 1.2.2.0版的样本。NanoCore远控木马会在AppData文件夹中创建副本,并在RegSvcs.exe进程中注入恶意代码。NanoCore会将窃取的数据发送到以下C2服务器:
-
shtf[.]pw
-
uyeco[.]pw
图5. RegSvcs进程的内存转储,其中注入了NanoCore恶意代码
总结
研究人员近期发现的垃圾邮件活动与其两年前所调查的类似,都是通过对恶意的“.zipx”附件进行图标伪装,以躲避反病毒软件和电子邮件网关的检测。一旦用户使用7Zip或WinRAR对恶意附件进行解压缩,将感染NanoCore远控木马。
IOC
文件哈希:
DF46A893B51D8ADE0CCDEF7E375FB387E2560720
C93FBA54357E90235202F58DA1FEFF7AB1142F65
E99F6B9BD787679666F8C54B9A834D6ACECFA622
FD958C365B6BFA5EF34779831773EC92C041A5D5
C2:
shtf[.]pw
uyeco[.]pw
END
本文始发于微信公众号(SecTr安全团队):NanoCore远控木马使用Abobe图标进行伪装
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论