概述
AhnLab 安全情报中心 (ASEC) 最近发现,Remcos Rat 恶意软件正在通过伪装成成人游戏的 webhard 进行分发,同时监控在韩国收集的恶意软件的分发情况。Webhard 和 torrent 是代表性平台,主要用于在家庭环境中分发恶意软件。
通常,攻击者使用现成的恶意软件(如 njRAT 或 UDP Rat),并将其伪装成成人内容或合法程序(如游戏)。下面的ASEC博客中已经介绍了许多这样的案例。
- 通过 webhard 分发的 UDP Rat 恶意软件
- 通过 webhard 和 torrent 分发的 njRAT
- njRAT 恶意软件通过韩国著名的网络软件分发
- 后门通过文件共享网站分发(成人材料)
[图1] 上传的帖子
[图 2] 伪装成成人游戏的恶意软件
如图[图1]所示,恶意软件以常见的方式分发到许多游戏中,并且在帖子下方的项目中有一个运行Game.exe的指南。
解压缩后,存在 Game.exe,它看起来像一个普通的游戏启动器,但实际上单独运行游戏并运行恶意 vbs 脚本。
[图 3] 伪装成普通游戏 .exe 的恶意软件
[图4] 执行恶意VBS的进程
[图 5] wwwjsplugins 文件夹中的恶意文件
如图 5 所示,wwwjsplugins 文件夹中存在包含 VBS 的恶意恶意软件。最终执行的是 ffmpeg.exe 恶意软件,执行时的恶意软件感染流如图 6 所示。
[图6] 恶意软件感染流程
当 ffmpeg.exe 运行时,它会拆分 test.jpg 中的字符串 “sexyz” 来获取加密的二进制和密钥值,然后将其注入到 explorer.exe 中。
[图 7] 解析来自 test.jpg 的加密恶意软件
[图 8] 注入逻辑 .exe 资源管理器
注入的恶意软件通过[图9]中的C&C服务器下载Remcos Rat,并将其注入ServiceModelReg.exe以尝试进一步操作。
[图10]下载 Remcos Rat 的逻辑
[图10]RemcosRAT的main函数
因此,恶意代码通过国内网络硬盘等数据共享网站积极传播,因此用户需要小心。从数据共享站点下载的可执行文件应格外小心,实用程序和游戏等程序应从官方网站下载。
IOC
文件MD5
– ffmpeg.exe : 00bfd32843a34abf0b2fb26a395ed2a4
– ffmpeg.dll: 4d04070dee9b27afc174016b3648b06c
– test.jpg: 5193669c2968980c0e88a87fd4bf61c4
– passage.vbs:2e6796377e20a6ef4b5e85a4ebbe614d
– passage2.vbs:b05de31c9c254eea1be1dc4c5a38672c
– passage.bat:5574647e6e64cee7986478a31eecbae0
– passage2.bat:629c21b1eee4e65eb38809302ae029f6
– space.vbs:ee198ab059b0e180757e543ab6e02bed
– sky.vbs:2f6768c1e17e63f67e173838348dee58
– road.vbs:36aa180dc652faf6da2d68ec4dac8ddfC2服务器
– kyochonchlcken.com/share/Favela.r6map
– kyochonchlcken.com/share/1.exe
– kyochonchlcken.com/share/BankG.r6map文件诊断
Trojan/Win.Injector.R630725 (2024.01.08.02)
Trojan/Win.Injector.R630726 (2024.01.08.02)
特洛伊木马/VBS.Runner.SC195782 (2024.01.08.02)
木马/VBS。Runner.SC195783 (2024.01.08.02)
特洛伊木马/Bat.Agent.SC195781 (2024.01.08.02)
特洛伊木马/Bat.Agent.SC195785 (2024.01.08.02)
木马/VBS.Runner.SC195786 (2024.01.08.02)
木马/VBS.Runner.SC195787 (2024.01.08.02)
特洛伊木马/VBS.Runner.SC195784 (2024.01.08.02)参考链接:https://asec.ahnlab.com/ko/60171/
图片来源网络目标可联系删除
