FortiGuard Labs 最近发现了一个电子邮件网络钓鱼活动,该活动使用欺骗性的预订信息来诱使受害者点击恶意 PDF 文件。PDF 下载使用 PowerGUI 创建的 .NET 可执行文件,然后运行 PowerShell 脚本来获取最终恶意软件,称为 MrAnon Stealer。该恶意软件是一种基于 Python 的信息窃取程序,使用 cx-Freeze 进行压缩以逃避检测。MrAnon Stealer 窃取受害者的凭据、系统信息、浏览器会话和加密货币扩展。图 1 说明了攻击流程。
图 1:攻击流程
下载器URL主要在德国被查询,这表明它是攻击的主要目标。2023 年 11 月,此网址的查询量大幅上升,这意味着该活动在当月更加活跃和激进。在本文中,我们将详细介绍此恶意软件在每个阶段的行为。
图 2:推测
初始感染媒介 – 酒店预订.pdf
攻击者伪装成一家希望预订酒店房间的公司,发送主题为“12 月客房可用查询”的网络钓鱼电子邮件。正文包含假日季节的虚假酒店预订详细信息。附加的恶意 PDF 文件在流对象中隐藏了一个下载器链接。其解码后的数据如下图所示:
图 3:网络钓鱼电子邮件
图 4:恶意 PDF 文件
.NET 可执行文件 – adobe.exe
使用类“Loader”中的字符串,我们确定恶意软件使用了将 PowerShell 脚本转换为 Microsoft 可执行文件的 PowerShell 脚本编辑器。
图 5:反编译的 Exec() 函数
在检查图 6 中所示的 .NET 可执行文件后,我们发现它利用 ScriptRunner.dll 提取“Scripts.zip”来获取 PowerShell 脚本。提取的文件存放在以下位置:“%USERPROFILE%AppDataLocalTempQuest SoftwarePowerGUI”。
此.NET Microsoft Windows可执行文件仅负责解压缩名为“down2.ps1”的嵌入式脚本并使用PowerShell.exe执行它。打包的文件和 PowerShell 配置位于文件的 resources 部分中,如图 7 所示。
图 6:加载 PowerShell 脚本的 ScriptRunner.dll
图 7:恶意软件的资源部分
PowerShell 脚本 – down2.ps1
该脚本启动 Windows 窗体的加载并配置其设置,包括窗体、标签和进度栏。此外,它还在后续脚本的执行中定义文本,以减轻用户的怀疑。
图 8:创建 Windows 窗体
在“表单加载事件”部分中,脚本从相同的域“anonbin[.]ir“,并解压缩临时文件夹中的文件。然后,它在 zip 存档中找到执行文件,并使用“Start-Process”进行执行。在此状态下显示一个名为“不支持文件”的窗口,并附有一条状态消息,指示“未运行:python.exe”。这种欺骗性演示旨在误导用户相信恶意软件尚未成功执行。图 10 显示了恶意软件执行期间的窗口和进度条。
图 9:表单加载事件部分
图 10:python.exe 执行期间显示的进度窗口
Cx_Freeze打包文件 – python.exe
压缩文件“Ads-Pro-V6-Free-Trail (1).zip”包含多个文件。图 11 显示了提取的文件夹的内容。在此文件夹中,两个DLL文件用作干净的组件,以方便“python.exe”进程加载其他Python代码。图 12 说明了“python.exe”中的 WinMain 函数,清楚地表明这不是合法的 Python 可执行文件。
图 11:ads-pro-v6-free-trail 中的文件 (1).zip”
图 12:python.exe 中的 WinMain
跟踪初始调用会发现执行文件源自cx_Freeze工具。然后,该脚本搜索目录“liblibrary.zip”并使用“PyObject_CallObject”调用恶意 Python 代码。
图 13:检查目录 \lib\library.zip
图 14:调用主 Python 代码
图 15 显示了 “library.zip” 中的文件。值得注意的是,“cstgversion__main__.pyc”因其与合法文件相比的不同创建时间而脱颖而出。此特定文件包含负责数据盗窃的主要功能。
图 15:库 .zip 中的文件
MrAnon Stealer
首先,恶意软件会验证系统上当前是否正在运行以下进程,如果存在,则终止它们:“ArmoryQt.exe”, “Atomic Wallet.exe”, “brave.exe”, “bytecoin-gui.exe”, “chrome.exe”, “Coinomi.exe”, “Discord.exe”, “DiscordCanary.exe”, “Element.exe”, “Exodus.exe”, “firefox.exe”, “Guarda.exe”, “KeePassXC.exe”, “NordVPN.exe”, “OpenVPNConnect.exe”, “seamonkey.exe”, “Signal.exe”, “Telegram.exe”, “filezilla.exe”, “filezilla-server-gui.exe”, “keepassxc-proxy.exe”, “msedge.exe”, “nordvpn-service.exe”, “opera.exe”, “steam.exe”, “walletd.exe”, “waterfox.exe”, “yandex.exe”
然后,它使用“ImageGrab”捕获屏幕截图,并使用文件名“屏幕截图(用户名).png”保存它。此外,它还与“api.ipify.org”和“geolocation-db.com/jsonp”等合法网站建立连接,以检索系统的 IP 地址、国家/地区名称和国家/地区代码。它还从以下来源收集信息:
浏览器数据:7Star,Amigoz,Bravez,Cent Browser,Chrome Canary,Epic Privacy Browser,Google Chrome,Iridium,Kometa,Microsoft Edge,Opera,Opera GX,Orbitum,Sputnik,Torch,Uran,Vivaldi,Yandex,Firefox,Pale Moon,SeaMonkey和Waterfox。
钱包:Bytecoin 钱包、Guarda、Atomic Wallet、Coinomi 、Bitcoin Armory 和 Exodus。
浏览器扩展:
通信:Discord、Discord Canary、Element、Signal、Telegram Desktop
VPN 客户端:NordVPN、ProtonVPN 和 OpenVPN Connect
浏览器钱包:
其他:FileZilla 和 FileZilla 服务器
游戏:蒸汽
文件:它扫描以下目录:桌面、文档、下载、图片,并抓取具有以下扩展名的特定文件:“.7z”、“.bmp”、“.conf”、“.csv”、“.dat”、“.db”、“.doc”、“.jpeg”、“.jpg”、“.kdbx”、“.key”、“.odt”、“.ovpn”、“.pdf”、“.png”、“.rar”、“.rdp”、“.rtf”、“.sql”、“.tar”、“.txt”、“.wallet”、“.xls”、“.xlsx”、“.xml”和“.zip”。
接下来,它压缩被盗数据,使用密码保护数据,并将文件名指定为“Log(用户名).zip”。然后使用 URL“hxxps://store1[.]gofile[.]io/uploadFile”将压缩文件上传到公共文件共享网站。最后,它将下载链接和系统信息附加到使用机器人令牌“6799784870:AAHEU6EUdnAjRcH8Qq0TCokNtVJSL06VmbU”发送到攻击者的 Telegram 频道的消息中。
图 16:Telegram 消息中的数据被盗
图 17:zip 文件
MrAnon Stealer 的支持渠道如图 18 所示。该支持渠道宣传其产品、提供增强的功能,并包括所有相关工具的“hxxp[:]//anoncrypter[.]com”购买页面(图 19) 。
图 18:MrAnon Stealer 的电报频道
图 19:MrAnon Tools 的网站
恶意行为者建立了网站“anonbin[.]ir“,如图 20 所示,并下载了所有相关文件。经过调查,我们发现了类似的打包文件,使用了 7 月份的cx_Freeze。这些文件始终具有基于 Python 的窃取程序,由代码中共享的“HYDRA”横幅标识,如图 21 所示。
该活动最初在 7 月和 8 月传播 Cstealer,但在 10 月和 11 月过渡到分发 MrAnon Stealer。这种模式提出了一种战略方法,涉及继续使用网络钓鱼电子邮件来传播各种基于 Python 的窃取程序。
图 20:hxxps[:]//anonbin[.] 的主页红外
图 21:7 月份恶意软件的横幅
结论
在这次攻击中,威胁攻击者针对特定地区发送带有虚假房间预订详细信息的网络钓鱼电子邮件。该恶意软件使用 PowerGUI 和 cx-Freeze 工具创建一个涉及 .NET 可执行文件和 PowerShell 脚本的复杂进程。攻击者还使用虚假错误消息等技巧来隐藏成功的感染。该恶意软件从特定域下载并提取文件以运行有害的 Python 脚本。该脚本提取干净的DLL文件和名为“python.exe”的恶意软件。这些用于掩盖恶意负载的加载 - MrAnon Stealer。它从多个应用程序中窃取数据和敏感信息,然后将被盗数据压缩并上传到公共文件共享网站和威胁行为者的 Telegram 频道。用户应小心网络钓鱼电子邮件和不清楚的 PDF 文件。
IOC
DOMAIN
anonbin[.]ir
anoncrypter[.]com文件MD5
075e40be20b4bc5826aa0b031c0ba8355711c66c947bbbaf926b92edb2844cb0
48e09b8043c0d5dfc2047b573112ead889b112108507d400d2ce3db18987f6c9
0efba3964f4b760965e94b4d1a597e6cd16241b8c8bf77a664d6216d1420b312
8a8c9acf09c84ab5ea4c098eace93888a88b82a1485255073c93ce6080d05ec7
96ec8ef2338d36b7122a76b0398d97e8d0ed55c85e31649ea00e57d6b1f53628
8b71525ca378463784ce2d81a8371714580c58f0d305a2aa4630dc964c8c0ee0
45ee224e571d0fd3a72af1d7a7718e61a1aad03b449cf85377411d51c135bb22参考链接:https://www.fortinet.com/blog/threat-research/mranon-stealer-spreads-via-email-with-fake-hotel-booking-pdf
图片来源网络目标可联系删除
