AhnLab 安全紧急响应中心 (ASEC) 确认存在包含恶意 URL 的 PDF 文件的分发。当我们检查与 PDF 文件相关的域时,我们可以看到类似的 PDF 文件以 PDF 的形式分发,伪装成特定游戏或程序的破解文件下载。已确认流通的 PDF 文件的部分列表如下。
- Far-Cry-3-Multiplayer-Crack-Fix.pdf
- STDISK-Activator-Free-Download-X64.pdf
- Hungry-Shark-World-360-Apk-MOD-Diamond-Coin-Data-Free-Download-FULL.pdf
- Video-Pad-Video-Editor-Free-Download-TOP-Full-Version.pdf
- Roblox-Gift-Card-2018-Projected.pdf
- minecraft-the-island-part-2.pdf
单击分发的 PDF 文件中包含的按钮会连接到恶意 URL 地址。下图是打开PDF文件时出现的屏幕,当您按下红色阴影的两个按钮之一时,您将访问下面的地址。
- hxxps://fancli[.]com/21czb7
图 1. 恶意 PDF
访问的链接重定向到下面的URL地址。
- hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3
下图是重定向的站点屏幕,当您按下下载按钮时,将下载加密的压缩文件,并将您重定向到显示解密密码的页面。
图 2. 从 hxxps://fancli[.]com/21czb7 地址重定向的页面屏幕
重定向的页面显示字符串“存档密码:1234”,以鼓励解压并执行加密的压缩文件。下图是从文件下载地址重定向后显示解压密码的屏幕。
图 3. 重定向页面
下载的压缩文件名为“Setup.7z”,使用密码解压后会生成如下图所示的File.exe文件。
图 4. 解压后的 File.exe 文件
以管理员权限执行的 File.exe 进程通过操作注册表值来禁用 Windows Defender,如下所示。
* HKLMSOFTWAREPoliciesMicrosoftWindows Defender:DisableAntiSpyware=1
此外,它还使用 IP 位置信息 API 站点窃取受害者 PC 的浏览器登录信息以及 IP 和位置信息,并将其他恶意代码下载到以下路径。
- C:Users%USERNAME%Pictures
- C:Users%USERNAME%PicturesMinor Policy
下载的恶意代码是勒索软件、PUP、infostealer、dropper等。一些下载的文件被隐藏并设置为系统属性。下图捕获了一些正在下载的恶意文件。
图 5. File.exe 恶意软件下载的其他文件。
如下图所示,恶意软件分发的整体流程包括从包含初始恶意 URL 的 PDF 文件下载并执行恶意软件。执行的恶意代码会下载并执行大量恶意代码,例如勒索软件、广告软件和信息窃取程序。
图6 恶意软件总体分布示意图
下载的恶意代码中,特别是从地址hxxp://109.107.182[.]2/race/bus50.exe下载的恶意代码是由CAB文件组成的SFX文件。执行 SFX 文件时,会在 %TEMP% 路径下的“IXP000.TMP”文件夹中创建一个恶意文件和另一个 SFX 文件。子SFX文件重复创建文件夹的过程,增加%TEMP%路径中“IXP”字符串后面的数字,例如下面的“IXP001.TMP”,并创建子文件,总共6个SFX文件和 7 个附加文件。创建了恶意代码。
图 7. SFX 格式恶意软件执行流程
目前,在V3中,诊断如下,IOC如下。
图8. V3诊断结果
图 9. SFX 文件 V3 基于行为的诊断结果
【文件诊断】
Phishing/PDF.Generic (2023.10.25.02)
Downloader/Win.BeamWinHTTP.C5530057 (2023.10.25.02)
Dropper/Win.Generic.X2198 (2023.10.31.00)
Trojan/Win.RedLine.R619129 (2023.10.31.01)[基于行为的诊断]
Malware/MDP.Drop.M254IOC
Hash (MD5)
d97fbf9d6dd509c78308731b0e57875a (PDF)
9ce00f95fb670723dd104c417f486f81 (File.exe)
3837ff5bfbee187415c131cdbf97326b (SFX)
7e88670e893f284a13a2d88af7295317 (RedLine)下载地址
hxxps://vk[.]com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
hxxp://171.22.28[.]226/download/Services.exe
hxxp://109.107.182[.]2/race/bus50.exe
hxxp://albertwashington[.]icu/timeSync.exe
hxxps://experiment[.]pw/setup294.exe
hxxps://sun6-22.userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWlSiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM转载来源:https://asec.ahnlab.com/ko/58251/
图片来源网络目标可联系删除
