AhnLab 安全情报中心 (ASEC) 最近确认,伪装成 Adobe Reader 安装文件的 Infostealer 恶意软件正在传播。该文件通过 PDF 形式分发,并鼓励用户下载并运行该文件。
[图1]中的伪装PDF指出,您需要安装Adobe Reader才能查看葡萄牙语文档,并且您应该点击下载。通过假装用户需要 Adobe Reader 来查看文档,他们会诱骗用户下载并执行攻击者的恶意软件。
图 1. 伪装的 PDF
单击[图1]中的灰色区域将连接到以下地址并下载恶意软件。
hxxps://raw.githubusercontent[.]com/fefifojs/reader/main/Reader_Install_Setup.exe
下载的文件使用Adobe Reader图标,文件名为Reader_Install_Setup.exe,伪装成普通的Adobe Reader安装文件以鼓励执行。
图 2. Reader_Install_Setup.exe
整个流程,包括从PDF文件下载到恶意文件,如下图所示。
图3 示意图
下载文件的执行过程可以分为三个步骤。
创建文件
DLL 劫持和 UAC 绕过
信息泄露
1. 创建文件
当您运行下载的恶意文件 Reader_Install_Setup.exe 时,它会执行以下操作。
[Reader_Install_Setup.exe]
1. 创建 %TEMP%require.exe 文件
2. %AppData%LocalMicrosoftWindowsAppsBluetoothDiagnosticUtil.dll
3. 运行 msdt.exe
2.DLL劫持 &UAC绕过
Reader_Install_Setup.exe 创建两个恶意文件,然后使用以下命令执行 msdt.exe(一个普通的 Windows 系统文件)。
"C:WindowsSysWOW64msdt.exe" -path "C:WINDOWSdiagnoticsindexBluetoothDiagnostic.xml" -skip yes
执行的msdt.exe进程负责以管理员权限执行sdiagnhost.exe。
[msdt.exe]
1.以管理员权限递归运行
2.运行sdiagnhost.exe
sdiagnhost.exe 加载恶意的BluetoothDiagnosticUtil.dll。
[sdiagnhost.exe]
1.加载恶意BluetoothDiagnosticUtil.dll(DLL劫持)
2.通过恶意DLL模块的DllMain函数执行require.exe
Windows系统默认将路径“%AppData%LocalMicrosoftWindowsApps”注册为PATH环境变量。因此,当sdiagnhost.exe进程加载BluetoothDiagnosticUtil.dll时,就会加载恶意DLL文件。
通过上述过程,攻击者可以通过DLL劫持绕过UAC(用户帐户控制)。
与正常的DLL文件不同,恶意的BluetoothDiagnosticUtil.dll没有导出函数,而只有DllMain函数。
DllMain函数执行由Reader_Install_Setup.exe文件创建的require.exe恶意文件。
图4.生成的BluetoothDiagnosticUtil.dll文件DLL主函数
图 5. 使用 CreateProcess 函数执行 require.exe
3、信息泄露
执行的 require.exe 执行以下操作。
[require.exe]
1. PC 信息收集与 C2 通信
– C2 地址:hxxps://blamefade.com[.]br/
2. 创建以下路径并注册 Windows Defender 异常路径
– 路径:%AppData%Roaming ChromeApplication
3. 在创建的路径中创建一个包含 chrome.exe 的文件,并将其设置为隐藏属性。
图 6. 创建的 ChromeApplication 文件夹
创建的 chrome.exe 是一个恶意文件,与实际的 Google Chrome 浏览器无关,并伪装成带有文件图标的实际浏览器可执行文件。
[chrome.exe]
1.收集系统信息和用户浏览器信息并发送给C2服务器
– C2地址:hxxps://thinkforce.com[.]br/
这样,您应该特别小心那些诱骗用户运行恶意代码的文件,尤其是在执行从官方网站以外的地方下载的文件时尤其要小心。
V3诊断信息和IOC如下。
图 7. V3 文件诊断信息
图8. V3行为诊断信息
[文件诊断]
– Trojan/Win.Agent.C5594460 (2024.02.28.00)
– Infostealer/Win.Agent.C5594461 (2024.02.28.00)
– Trojan/Win.Agent.C5594846 (2024.02.28.00)
– Phishing/PDF.Agent (2024.02.24.00)
[行为诊断]
– Malware/MDP.Drop.M254 (2017.01.18.00)
【国际奥委会信息】
[MD5]
84526c50bc14838ddd97657db7c760ca
0eebfc748bc887a6ef5bade20ef9ca6b
b24441f5249d173015dd0547d1654c6a
02b96e2079bbc151222bb5bd10a4be9d
[C&C]
hxxps://blamefade.com[.]br/
hxxps://thinkforce.com[.]br/
参考链接: https://asec.ahnlab.com/ko/62064/
图片来源网络目标可联系删除