概述
AhnLab 安全情报中心 (ASEC) 最近证实了 Zephyr 硬币矿工的流通。该文件由Autoit生成,并以包含coinminer的压缩文件的形式分发。
正在流传的文件以“WINDOWS_PY_M3U_EXPLOIT_2024.7z”的名义流传,解压缩后会生成多个脚本和可执行文件。其中,“ComboIptvExploit.exe”文件是一个NSIS(Nullsoft Scriptable Install System)安装文件,里面有两个JavaScript文件。
图 1.解压WINDOWS_PY_M3U_EXPLOIT_2024.7z
当您运行该文件时,它会在 %temp% 路径中创建“explorer.js”和“internet.js”文件,并且这两个 JavaScript 文件都通过 wscript.exe 执行。
图2.在 Temp 路径中生成的脚本
图3.运行 wscript.exe
在两个JavaScript文件中,“internet.js”文件通过解码其中的BASE64编码字符串来生成可执行文件。此可执行文件在 %temp% 路径中使用名称“x.exe”创建,是由 Autoit 编写的程序。
编译后的Autoit脚本文件包含两个文件:“asacpiex.dll”是一个压缩文件,“CL_Debug_Log.txt”是一个普通的“7za.exe”。“JDQJndnqwdnqw2139dn21n3b312idDQDB”作为密码,然后解压缩以创建已编译的Autoit脚本文件“64.exe”。在 %temp% 路径中创建两个“32.exe”文件。如果系统的 CPU 体系结构是 x86,请将“32.exe”复制到“64.exe”到“%USER%AppDataRoamingMicrosoftWindowsHelper.exe”。
CL_Debug_Log.txt e -p"JDQJndnqwdnqw2139dn21n3b312idDQDB" &"&@TEMPDIR&CR_Debug_Log.txt&"& -o&"&@TEMPDIR&
复制的助手.exe是一个挖掘Zephyr加密货币的硬币矿工,并且可以识别提取脚本中使用的矿池和钱包地址。当我访问矿池并查找钱包时,我能够查看最近提款的历史记录。
GLOBAL $CRYPT= -a rx/0
GLOBAL $STRAT_=ssl
GLOBAL $POOL=zeph.kryptex.network:8888
GLOBAL $WALLET=ZEPHsAgR4UTMCufABEmp7CDehfzontt85VKaQogms5zVc9iwV896o9ZR2XcbuCzwaSGYDmMUTjPJUVoLUE9a5feJKRgjtsvAndw/IPTV
图4.矿池钱包地址提现查询
整个恶意软件执行流程如下图所示。
图5.恶意软件执行流程图
用户在下载和运行来源不明的文件时应谨慎,并确保他们的防病毒软件已更新到最新版本。
IOC
MD5
1ea56f7d135c6d9394138b91b3b7bed2
2b7931a70748c38c8046dea9dc708379
6647cd9d0ab63506c230fbce8019d0b8
参考链接:https://asec.ahnlab.com/ko/60432/
图片来源网络目标可联系删除