Infostealer恶意软件伪装为Adobe安装程序窃取主机数据

AhnLab 安全情报中心 (ASEC) 最近确认，伪装成 Adob​​e Reader 安装文件的 Infostealer 恶意软件正在传播。该文件通过 PDF 形式分发，并鼓励用户下载并运行该文件。

[图1]中的伪装PDF指出，您需要安装Adobe Reader才能查看葡萄牙语文档，并且您应该点击下载。通过假装用户需要 Adob​​e Reader 来查看文档，他们会诱骗用户下载并执行攻击者的恶意软件。

图 1. 伪装的 PDF

单击[图1]中的灰色区域将连接到以下地址并下载恶意软件。

hxxps://raw.githubusercontent[.]com/fefifojs/reader/main/Reader_Install_Setup.exe

下载的文件使用Adobe Reader图标，文件名为Reader_Install_Setup.exe，伪装成普通的Adobe Reader安装文件以鼓励执行。

图 2. Reader_Install_Setup.exe

整个流程，包括从PDF文件下载到恶意文件，如下图所示。

图3 示意图

下载文件的执行过程可以分为三个步骤。

创建文件

DLL 劫持和 UAC 绕过

信息泄露

1. 创建文件

当您运行下载的恶意文件 Reader_Install_Setup.exe 时，它​​会执行以下操作。

[Reader_Install_Setup.exe]
1. 创建 %TEMP%require.exe 文件
2. %AppData%LocalMicrosoftWindowsAppsBluetoothDiagnosticUtil.dll
3. 运行 msdt.exe

2.DLL劫持 &UAC绕过

Reader_Install_Setup.exe 创建两个恶意文件，然后使用以下命令执行 msdt.exe（一个普通的 Windows 系统文件）。

"C:WindowsSysWOW64msdt.exe" -path "C:WINDOWSdiagnoticsindexBluetoothDiagnostic.xml" -skip yes

执行的msdt.exe进程负责以管理员权限执行sdiagnhost.exe。

[msdt.exe]
1.以管理员权限递归运行
2.运行sdiagnhost.exe

sdiagnhost.exe 加载恶意的BluetoothDiagnosticUtil.dll。

[sdiagnhost.exe]
1.加载恶意BluetoothDiagnosticUtil.dll（DLL劫持）
2.通过恶意DLL模块的DllMain函数执行require.exe

Windows系统默认将路径“%AppData%LocalMicrosoftWindowsApps”注册为PATH环境变量。因此，当sdiagnhost.exe进程加载BluetoothDiagnosticUtil.dll时，就会加载恶意DLL文件。

通过上述过程，攻击者可以通过DLL劫持绕过UAC（用户帐户控制）。

与正常的DLL文件不同，恶意的BluetoothDiagnosticUtil.dll没有导出函数，而只有DllMain函数。

DllMain函数执行由Reader_Install_Setup.exe文件创建的require.exe恶意文件。

图4.生成的BluetoothDiagnosticUtil.dll文件DLL主函数

图 5. 使用 CreateProcess 函数执行 require.exe

3、信息泄露

执行的 require.exe 执行以下操作。

[require.exe]
1. PC 信息收集与 C2 通信
– C2 地址：hxxps://blamefade.com[.]br/
2. 创建以下路径并注册 Windows Defender 异常路径
– 路径：%AppData%Roaming ChromeApplication
3. 在创建的路径中创建一个包含 chrome.exe 的文件，并将其设置为隐藏属性。

图 6. 创建的 ChromeApplication 文件夹

创建的 chrome.exe 是一个恶意文件，与实际的 Google Chrome 浏览器无关，并伪装成带有文件图标的实际浏览器可执行文件。

[chrome.exe]
1.收集系统信息和用户浏览器信息并发送给C2服务器
– C2地址：hxxps://thinkforce.com[.]br/

这样，您应该特别小心那些诱骗用户运行恶意代码的文件，尤其是在执行从官方网站以外的地方下载的文件时尤其要小心。

V3诊断信息和IOC如下。

图 7. V3 文件诊断信息

图8. V3行为诊断信息

[文件诊断]

– Trojan/Win.Agent.C5594460 (2024.02.28.00)
– Infostealer/Win.Agent.C5594461 (2024.02.28.00)
– Trojan/Win.Agent.C5594846 (2024.02.28.00)
– Phishing/PDF.Agent (2024.02.24.00)

[行为诊断]

– Malware/MDP.Drop.M254 (2017.01.18.00)

【国际奥委会信息】

[MD5]

84526c50bc14838ddd97657db7c760ca
0eebfc748bc887a6ef5bade20ef9ca6b
b24441f5249d173015dd0547d1654c6a
02b96e2079bbc151222bb5bd10a4be9d

[C&C]

hxxps://blamefade.com[.]br/
hxxps://thinkforce.com[.]br/

参考链接： https://asec.ahnlab.com/ko/62064/

图片来源网络目标可联系删除