Infostealer恶意软件伪装为Adobe安装程序窃取主机数据

2024年 3月 6日 104.9k 0

AhnLab 安全情报中心 (ASEC) 最近确认,伪装成 Adob​​e Reader 安装文件的 Infostealer 恶意软件正在传播。该文件通过 PDF 形式分发,并鼓励用户下载并运行该文件。

[图1]中的伪装PDF指出,您需要安装Adobe Reader才能查看葡萄牙语文档,并且您应该点击下载。通过假装用户需要 Adob​​e Reader 来查看文档,他们会诱骗用户下载并执行攻击者的恶意软件。

图 1. 伪装的 PDF

单击[图1]中的灰色区域将连接到以下地址并下载恶意软件。

hxxps://raw.githubusercontent[.]com/fefifojs/reader/main/Reader_Install_Setup.exe

下载的文件使用Adobe Reader图标,文件名为Reader_Install_Setup.exe,伪装成普通的Adobe Reader安装文件以鼓励执行。

图 2. Reader_Install_Setup.exe

整个流程,包括从PDF文件下载到恶意文件,如下图所示。

图3 示意图

下载文件的执行过程可以分为三个步骤。

创建文件

DLL 劫持和 UAC 绕过

信息泄露

1. 创建文件

当您运行下载的恶意文件 Reader_Install_Setup.exe 时,它​​会执行以下操作。

[Reader_Install_Setup.exe]
1. 创建 %TEMP%require.exe 文件
2. %AppData%LocalMicrosoftWindowsAppsBluetoothDiagnosticUtil.dll
3. 运行 msdt.exe

2.DLL劫持 &UAC绕过

Reader_Install_Setup.exe 创建两个恶意文件,然后使用以下命令执行 msdt.exe(一个普通的 Windows 系统文件)。

"C:WindowsSysWOW64msdt.exe" -path "C:WINDOWSdiagnoticsindexBluetoothDiagnostic.xml" -skip yes

执行的msdt.exe进程负责以管理员权限执行sdiagnhost.exe。

[msdt.exe]
1.以管理员权限递归运行
2.运行sdiagnhost.exe

sdiagnhost.exe 加载恶意的BluetoothDiagnosticUtil.dll。

[sdiagnhost.exe]
1.加载恶意BluetoothDiagnosticUtil.dll(DLL劫持)
2.通过恶意DLL模块的DllMain函数执行require.exe

Windows系统默认将路径“%AppData%LocalMicrosoftWindowsApps”注册为PATH环境变量。因此,当sdiagnhost.exe进程加载BluetoothDiagnosticUtil.dll时,就会加载恶意DLL文件。

通过上述过程,攻击者可以通过DLL劫持绕过UAC(用户帐户控制)。

与正常的DLL文件不同,恶意的BluetoothDiagnosticUtil.dll没有导出函数,而只有DllMain函数。

DllMain函数执行由Reader_Install_Setup.exe文件创建的require.exe恶意文件。

图4.生成的BluetoothDiagnosticUtil.dll文件DLL主函数

Infostealer恶意软件伪装为Adobe安装程序窃取主机数据-1

图 5. 使用 CreateProcess 函数执行 require.exe

3、信息泄露

执行的 require.exe 执行以下操作。

[require.exe]
1. PC 信息收集与 C2 通信
– C2 地址:hxxps://blamefade.com[.]br/
2. 创建以下路径并注册 Windows Defender 异常路径
– 路径:%AppData%Roaming ChromeApplication
3. 在创建的路径中创建一个包含 chrome.exe 的文件,并将其设置为隐藏属性。

图 6. 创建的 ChromeApplication 文件夹

创建的 chrome.exe 是一个恶意文件,与实际的 Google Chrome 浏览器无关,并伪装成带有文件图标的实际浏览器可执行文件。

[chrome.exe]
1.收集系统信息和用户浏览器信息并发送给C2服务器
– C2地址:hxxps://thinkforce.com[.]br/

这样,您应该特别小心那些诱骗用户运行恶意代码的文件,尤其是在执行从官方网站以外的地方下载的文件时尤其要小心。

V3诊断信息和IOC如下。

图 7. V3 文件诊断信息

图8. V3行为诊断信息

[文件诊断]

– Trojan/Win.Agent.C5594460 (2024.02.28.00)
– Infostealer/Win.Agent.C5594461 (2024.02.28.00)
– Trojan/Win.Agent.C5594846 (2024.02.28.00)
– Phishing/PDF.Agent (2024.02.24.00)

[行为诊断]

– Malware/MDP.Drop.M254 (2017.01.18.00)

【国际奥委会信息】

[MD5]

84526c50bc14838ddd97657db7c760ca
0eebfc748bc887a6ef5bade20ef9ca6b
b24441f5249d173015dd0547d1654c6a
02b96e2079bbc151222bb5bd10a4be9d

[C&C]

hxxps://blamefade.com[.]br/
hxxps://thinkforce.com[.]br/

参考链接: https://asec.ahnlab.com/ko/62064/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论