近期,多起利用异常证书的恶意软件被传播。
恶意代码经常将自己伪装成正常的证书,但恶意软件随机输入证书信息,并且Subject Name和Issuer Name项的字符串长度异常长。
因此,证书信息在Windows操作系统上是不可见的,只能通过特定的工具或基础设施来确认证书结构。
当然,因为证书不正确,导致签名验证失败,也就没有作为签名功能的好处了。然而,如果你看签名字符串,它具有使用阿拉伯语和日语等非英语语言、特殊字符和标点符号的特征,而不是典型的英语字符串结构。此外,似乎还有特定的意图,因为类似类型的样本已经流通了两个多月,结构几乎没有变化。
图 1. 恶意软件签名信息
当前分发的最新样本(图 1 右下角)包含恶意脚本的 URL 编码字符串。该脚本被配置为从特定地址下载并执行Powershell命令,但目前无法正确下载。该脚本在感染过程中并未实际执行。
图2 签名串解码结果(恶意脚本)
具有这种独特外观的恶意软件主要有两种类型: LummaC2和RecordBreaker 。两种类型的恶意软件都可以执行各种恶意操作,但它们基本上都是具有很强的信息盗窃性质的恶意软件。
一旦被感染,用户的浏览器账户信息、文档、数字货币钱包文件等敏感信息可能会被传输给攻击者,造成严重的二次损害,并且可能会被安装攻击者指定的额外恶意代码,持续不断地被感染。执行恶意操作。有。
此类恶意软件分布在可通过搜索引擎轻松访问的恶意页面上(SEO 中毒),对不明数量的用户构成威胁。恶意页面主要以serial、keygen、crack等非法程序为关键词。
图 3. 分发页面示例
RecordBreaker
RecoreBreaker 恶意软件也称为 Raccoon Stealer V2,除了上述分发方法之外,它还是一种通过 YouTube 和其他恶意软件积极分发的恶意软件。其特点是在连接C2时使用有意义的句子作为User-Agent值,并定期更改,最近发布的样本使用字符串“GeekingToTheMoon”。从功能上来说,它与现有的帖子相比没有太大变化。
RecordBreaker 信息窃取恶意软件伪装成 .NET 安装文件
RecordBreaker信息窃取恶意软件伪装成国产知名软件
RecordBreaker Stealer 通过被黑的 YouTube 帐户进行传播
LummaC2
LummaC2 是以这种方式分发的最频繁修改的恶意代码。
最初的样本在恶意软件本身中内置了用于恶意操作的配置信息,但它被更改为通过 C2 下载配置信息并执行恶意操作,而 Amadey 和 Clipbanker 等其他恶意软件不仅仅是窃取信息,而是被修改为安装 .
有关初始分布样本的信息将在下面的帖子中描述。随后的转变可以简单概括如下。
LummaC2,一种新型信息窃取恶意软件,以非法破解为幌子进行传播
-更改C2通信方式
最初的样本内置了配置信息,因此当它运行时,它会立即收集信息并将其发送到“/c2sock”地址。
之后,修改后的样本从“/c2conf”地址下载配置信息并发送给“/c2sock”地址。
最近发布的样本使用“/api”地址进行配置下载和信息传输。因此,在连接C2时,通过POST参数来区分配置查询连接和信息传输连接。
每次发生这样的重大修改,执行开始时传送给C2的“ver”参数就会加1。当前版本是4.0。
图 4. 最新 LummaC2 示例中的 C2 通信。
“.xyz”长期用作 C2 地址的顶级域名 (TLD),但目前使用“.fun”。
图 5. LummaC2 C2 信息
- 下载额外的恶意软件
之前的样本只是在信息被盗后终止,但后来开始安装 Amadey 恶意软件,最近还安装了 Amadey 和 Clipbanker 恶意软件。
图 6. LummaC2 附加恶意软件下载地址信息
Amadey 是一种下载器类型的恶意软件,可以通过 C2 通信安装攻击者想要的恶意软件,在某些情况下甚至可以通过附加模块窃取信息。ClipBanker 是一种恶意软件,它会监视剪贴板,并在复制时将加密货币钱包地址更改为攻击者的地址。
LummaC2在窃取信息并安装额外的恶意代码后终止,但额外安装的恶意代码驻留在用户系统中,可以持续进行C2通信(等待命令)或钱包地址修改。
因此,信息窃取恶意软件会针对未指定的用户主动分发,并且不断演变,因此用户需要小心。
与此同时,Ahnlab产品线正在诊断这种异常的证书结构,并对如文中所示分布的样本运行自动收集系统,快速响应与C2相关的变形和阻塞的发生。
[诊断名称]
Suspicious/Win.MalPe.X2197 (2023.09.14.00)
Infostealer/Win.LummaC2.C5482988(2023.09.08.01)
Infostealer/Win.LummaC2.C5483329(2023.09.08.02)
Trojan/Win.LummaC2.C5483331(2023.09.08.02)
Trojan/Win.LummaC2.C5483376(2023.09.08.03)
Trojan/Win.AGent.C5483377(2023.09.08.03)
Trojan/Win.Evo-gen.C5481062(2023.09.04.02)
Trojan/Win.RecordStealer.R604279(2023.09.08.03)
Trojan/Win.RecordStealer.R604282(2023.09.08.03)
Infostealer/Win.Agent.C5475457(2023.08.24.03)
Trojan/Win.LummaC2.R606862(2023.09.23.00)
Trojan/Win.MSIL.C5475827(2023.08.25.03)
Trojan/Win.Injection.C5472888(2023.08.19.01)
Infostealer/Win.LummaC2.C5474761(2023.08.23.00)
Trojan/Win.Injection.C5472889(2023.08.19.01)
Trojan/Win.PWSX-gen.C5469716(2023.08.12.00)
Trojan/Win.Injection.C5468781(2023.08.10.01)
Trojan/Win.Injection.C5468508(2023.08.09.02)
Downloader/Win.Amadey.R596666(2023.08.11.00)
Trojan/Win.Generic.R596332(2023.08.09.00)
Trojan/Win.Injection.C5467711(2023.08.07.01)
Trojan/Win.Injection.C5467418(2023.08.06.01)
Infostealer/Win.LummaC2.C5467423(2023.08.06.01)
Downloader/Win.StealWallet.R596060(2023.08.07.03)
Infostealer/Win.LummaC2.C5466555(2023.08.04.02)[IOCs]
eae39f18a51c151601eaf430245d3cb4
3c39098b93eb02c664d09e0f94736d95
89644b879046b97dccf71c68c88bcf42
bb2147e536ba06511ca8ea0b43a38ef7
e584f749b3b06d328001f0dea7a45617
331c7d351bc39efb36fd53c74c12c3a5
d8518e4fcbdbcc056a72a495430f37b6
2667f726136c0c848b30ec93cbd488b7
a0caecafa32e88f363942945f759b799
5dfe53ca9cd218a0ed129ebecc107cf0
7ed43c0f2093707f65369ad87832599c
dabe6f3ac23858a353c53382f92a217b
fa371f301369b16a7a379008cc1b4f64
6b5ad8f456dc6704638d5b3e38135a2b
dbee35748bd993f3bd4a822d362f309d
331031e51a9816db6aa48a7dcff41c28
32b4703cc03286e610094704925ca5e4
e5f82461f276bfb9150ab253b3474aa1
e6facedba218387d24d6908a59f1730b
8329b54e5b8921825579c3eae37ee8b4
6260a3ea150744248ed0a155d079d2c8
a998f8d64d6953e1fdaafba655c84120
cbc06399af416c6b5a5aec73890a15a1
613425d8623f118e45fb65619f71c387
5d2359723a3acac158320a48f1930e08
05ab72ab29765fa803a9a88e940cc826
b484fdc3953f4d84e24ba8dd309accf2
7974df61d5906ca20e146c1b8b8b3aaa
0970196d074cbf7221f5be8208c7cba3
63a0789d8bfa599da31a7620947d7a24
d8b5732afb4897035043ea05ad84f928
a82d9b679c0df2a62939ee21939e7e7a
4cf108debe0314357431525f01376a56
de9cb5f942d9f73a1a5659172372b099
aa4fb8876b89288a015fbf945da98d87
b64c3663718228679df20e9282727110
0ece25acd98b2cd0beebd20d3fc11fd1[C2]
RecordBreaker
hxxp://49.13.59.137/
hxxp://95.216.166.188/
hxxp://49.13.51.185/
LummaC2
blockigro.xyz
programmbox.xyz
cvadrobox.xyz
stormwumen.xyz
fullppc.xyz
holdbox.xyz
scoollovers.xyz
beerword.xyz
fisholl.xyz
survviv.xyz
checkgoods.xyz
singlesfree.xyz
acexoss.xyz
freeace.xyz
glowesbrons.xyz
usdseancer.xyz
phonevronlene.xyz
seobrokerstv.xyz
reconphotocolor.xyz
sonyabest.xyz
seobrokerstv.fun
welcometv.fun
equestrianjumpingfrog.fun
seededraisinlilinglov.fun
gougeflying.fun其他恶意软件
hxxp://imagebengalnews.com/amday.exe
hxxp://enfantfoundation.com/amday.exe
hxxp://erp.fastgas.co.ke/Bitmodertorent.exe
hxxp://lungalungaenergyltd.co.ke/Adayn.exe
hxxp://moshito-marketing.com/Amda.exe
hxxp://vbglimited.com/Amdays.exe
hxxp://vrecepte.com.ua/Blazerstreetavenu.exe hxxp://sms.vbglimited.com/Amda.exe
hxxp://marrakechfolkloredays.com/clips.exe
hxxp://africatechs.com/55aa5e.exe
hxxp://rusticironstore.com/clip.exe
hxxp://tinsignsnmore.com/5ea275.exe
hxxp://ezisystem.com/clip.exe
hxxp://portmarine.co.tz/5ea275.exe
hxxp://mediterraneanshippingllc.com/clip.exe
hxxp://toolstechs.com/5ea275.exe
hxxp://justentertainer.us/5ea275.exe转载来源:https://asec.ahnlab.com/ko/57276/
图片来源网络侵权可联系删除
