攻击者使用Autoit分发Zephyr挖矿软件

2024年 1月 19日 71.3k 0

概述

AhnLab 安全情报中心 (ASEC) 最近证实了 Zephyr 硬币矿工的流通。该文件由Autoit生成,并以包含coinminer的压缩文件的形式分发。

正在流传的文件以“WINDOWS_PY_M3U_EXPLOIT_2024.7z”的名义流传,解压缩后会生成多个脚本和可执行文件。其中,“ComboIptvExploit.exe”文件是一个NSIS(Nullsoft Scriptable Install System)安装文件,里面有两个JavaScript文件。

图 1.解压WINDOWS_PY_M3U_EXPLOIT_2024.7z

当您运行该文件时,它会在 %temp% 路径中创建“explorer.js”和“internet.js”文件,并且这两个 JavaScript 文件都通过 wscript.exe 执行。

图2.在 Temp 路径中生成的脚本

图3.运行 wscript.exe

在两个JavaScript文件中,“internet.js”文件通过解码其中的BASE64编码字符串来生成可执行文件。此可执行文件在 %temp% 路径中使用名称“x.exe”创建,是由 Autoit 编写的程序。

编译后的Autoit脚本文件包含两个文件:“asacpiex.dll”是一个压缩文件,“CL_Debug_Log.txt”是一个普通的“7za.exe”。“JDQJndnqwdnqw2139dn21n3b312idDQDB”作为密码,然后解压缩以创建已编译的Autoit脚本文件“64.exe”。在 %temp% 路径中创建两个“32.exe”文件。如果系统的 CPU 体系结构是 x86,请将“32.exe”复制到“64.exe”到“%USER%AppDataRoamingMicrosoftWindowsHelper.exe”。

CL_Debug_Log.txt e -p"JDQJndnqwdnqw2139dn21n3b312idDQDB" &"&@TEMPDIR&CR_Debug_Log.txt&"& -o&"&@TEMPDIR&

复制的助手.exe是一个挖掘Zephyr加密货币的硬币矿工,并且可以识别提取脚本中使用的矿池和钱包地址。当我访问矿池并查找钱包时,我能够查看最近提款的历史记录。

 GLOBAL $CRYPT= -a rx/0
 GLOBAL $STRAT_=ssl
 GLOBAL $POOL=zeph.kryptex.network:8888
 GLOBAL $WALLET=ZEPHsAgR4UTMCufABEmp7CDehfzontt85VKaQogms5zVc9iwV896o9ZR2XcbuCzwaSGYDmMUTjPJUVoLUE9a5feJKRgjtsvAndw/IPTV

图4.矿池钱包地址提现查询

整个恶意软件执行流程如下图所示。

图5.恶意软件执行流程图

用户在下载和运行来源不明的文件时应谨慎,并确保他们的防病毒软件已更新到最新版本。

IOC

MD5

1ea56f7d135c6d9394138b91b3b7bed2
2b7931a70748c38c8046dea9dc708379
6647cd9d0ab63506c230fbce8019d0b8

参考链接:https://asec.ahnlab.com/ko/60432/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论