下载恶意软件包的钓鱼型PDF

2023年 11月 15日 76.2k 0

AhnLab 安全紧急响应中心 (ASEC) 确认存在包含恶意 URL 的 PDF 文件的分发。当我们检查与 PDF 文件相关的域时,我们可以看到类似的 PDF 文件以 PDF 的形式分发,伪装成特定游戏或程序的破解文件下载。已确认流通的 PDF 文件的部分列表如下。

  • Far-Cry-3-Multiplayer-Crack-Fix.pdf
  • STDISK-Activator-Free-Download-X64.pdf
  • Hungry-Shark-World-360-Apk-MOD-Diamond-Coin-Data-Free-Download-FULL.pdf
  • Video-Pad-Video-Editor-Free-Download-TOP-Full-Version.pdf
  • Roblox-Gift-Card-2018-Projected.pdf
  • minecraft-the-island-part-2.pdf

单击分发的 PDF 文件中包含的按钮会连接到恶意 URL 地址。下图是打开PDF文件时出现的屏幕,当您按下红色阴影的两个按钮之一时,您将访问下面的地址。

  • hxxps://fancli[.]com/21czb7

图 1. 恶意 PDF

访问的链接重定向到下面的URL地址。

  • hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3

下图是重定向的站点屏幕,当您按下下载按钮时,将下载加密的压缩文件,并将您重定向到显示解密密码的页面。

图 2. 从 hxxps://fancli[.]com/21czb7 地址重定向的页面屏幕

重定向的页面显示字符串“存档密码:1234”,以鼓励解压并执行加密的压缩文件。下图是从文件下载地址重定向后显示解压密码的屏幕。

图 3. 重定向页面

下载的压缩文件名为“Setup.7z”,使用密码解压后会生成如下图所示的File.exe文件。

图 4. 解压后的 File.exe 文件

以管理员权限执行的 File.exe 进程通过操作注册表值来禁用 Windows Defender,如下所示。

* HKLMSOFTWAREPoliciesMicrosoftWindows Defender:DisableAntiSpyware=1

此外,它还使用 IP 位置信息 API 站点窃取受害者 PC 的浏览器登录信息以及 IP 和位置信息,并将其他恶意代码下载到以下路径。

  • C:Users%USERNAME%Pictures
  • C:Users%USERNAME%PicturesMinor Policy

下载的恶意代码是勒索软件、PUP、infostealer、dropper等。一些下载的文件被隐藏并设置为系统属性。下图捕获了一些正在下载的恶意文件。

图 5. File.exe 恶意软件下载的其他文件。

如下图所示,恶意软件分发的整体流程包括从包含初始恶意 URL 的 PDF 文件下载并执行恶意软件。执行的恶意代码会下载并执行大量恶意代码,例如勒索软件、广告软件和信息窃取程序。

图6 恶意软件总体分布示意图

下载的恶意代码中,特别是从地址hxxp://109.107.182[.]2/race/bus50.exe下载的恶意代码是由CAB文件组成的SFX文件。执行 SFX 文件时,会在 %TEMP% 路径下的“IXP000.TMP”文件夹中创建一个恶意文件和另一个 SFX 文件。子SFX文件重复创建文件夹的过程,增加%TEMP%路径中“IXP”字符串后面的数字,例如下面的“IXP001.TMP”,并创建子文件,总共6个SFX文件和 7 个附加文件。创建了恶意代码。

图 7. SFX 格式恶意软件执行流程

目前,在V3中,诊断如下,IOC如下。

图8. V3诊断结果

图 9. SFX 文件 V3 基于行为的诊断结果

【文件诊断】

Phishing/PDF.Generic (2023.10.25.02)
Downloader/Win.BeamWinHTTP.C5530057 (2023.10.25.02)
Dropper/Win.Generic.X2198 (2023.10.31.00)
Trojan/Win.RedLine.R619129 (2023.10.31.01)

[基于行为的诊断]

Malware/MDP.Drop.M254

IOC

Hash (MD5)

d97fbf9d6dd509c78308731b0e57875a (PDF)
9ce00f95fb670723dd104c417f486f81 (File.exe)
3837ff5bfbee187415c131cdbf97326b (SFX)
7e88670e893f284a13a2d88af7295317 (RedLine)

下载地址

hxxps://vk[.]com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
hxxp://171.22.28[.]226/download/Services.exe
hxxp://109.107.182[.]2/race/bus50.exe
hxxp://albertwashington[.]icu/timeSync.exe
hxxps://experiment[.]pw/setup294.exe
hxxps://sun6-22.userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWlSiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM

转载来源:https://asec.ahnlab.com/ko/58251/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论