伪装成安装程序的StealC恶意软件正在大量传播

2024年 3月 18日 78.5k 0

已确认从Discord、GitHub、Dropbox等处下载,并考虑到之前以类似方式分发的案例,推测该恶意页面伪装成特定程序下载页面,会通过多个途径指向下载网址重定向。

StealC恶意软件是一种信息窃取恶意软件,它窃取系统信息、浏览器、加密货币钱包、Discord、Telegram和邮件客户端等各种重要信息。

图1. 恶意代码上传至Github

其恶意代码及所采用的操作手法与伪装成现有漏洞传播的恶意代码类似,但经确认分布地点不同。

这种分布的不同寻常之处在于,大量用户在短时间内下载了该文件。很有可能是伪装成韩国知名节目。

以下两类样本分布最广,至今仍在流通。它们的文件名分别为“setup_2024.008.20534_win64_86.exe”和“Setup_21.4_win64_86”。如果更改文件名,则不会发生恶意行为,这是为了绕过沙箱等分析环境。

图 2. StealC 恶意软件样本图标

运行恶意软件时,会从图像托管站点下载 PNG 文件。该PNG文件具有在图像数据中间插入编码的恶意数据的结构。每个恶意代码样本都有3个不同的站点地址,并且从每个站点下载的文件都是相同的。

图 3. 恶意 PNG 文件

解码 PNG 文件内的数据时,会创建恶意操作所需的 shell 代码和文件二进制文件。该shell代码执行时会经历文件创建、执行以及各种注入过程,最终执行StealC信息窃取恶意软件。

在此过程中,执行在Temp路径中创建的SysWOW64子正常进程(netsh.exe、more.com)和正常Auto-It进程(WinAPIHObj.au3、DllCall.au3),并在其中注入并执行StealC恶意软件Auto-It 流程。执行流程树如下。

图 4. StealC执行流程树

注入时使用了ntdll手动映射技术和Heaven's Gate技术。前者是手动加载ntdll.dll并执行内部函数的方法,后者是在Wow64进程中执行x64指令的技术,这两种技术都是用来绕过安全产品并干扰分析的。

图 5. 天堂之门密码

这些行为特征与几周前发生的以破解为幌子传播的恶意软件相同。当时分发的样本是Vidar信息窃取恶意软件,与该样本一样,它伪装了安装程序并使用了文件名检查、PNG文件下载、正常进程创建和注入、ntdll手动映射技术和天堂之门技术。用于下载 PNG 文件的图像托管网站也是相同的。

图 6. Vidar 恶意软件样本图标

图 7. Vidar执行流程树

当时,创建并注入了Windows 11中默认包含的只能在相应操作系统环境中执行的普通文件(imewdbld.exe)。因此,虽然攻击目标只有Win11环境,但最近发布的StealC样本即使在之前版本的操作系统环境中也能正常运行。

Vidar恶意软件也是一种信息窃取恶意软件,其特点是通过访问Steam、Telegram等平台的账户页面来获取C2地址。因此,C2可能会不断变化。

图 8. Vidar 恶意软件 C2 页面

此外,今天凌晨5点左右分发的破解伪装恶意软件中,还分发了一个C2与文中StealC样本相同的样本。操作方法相同的不同恶意代码以及操作方法不同但C2相同的恶意代码不断产生和传播。

他们都被认为是同一名攻击者或具有重要关系,并对用户构成持续的威胁。

d58a6009dec024aee176df38d39bc32b (Stealc MD5)
413aa458fb04b7ff1c455cefdb720135 (Stealc MD5)
hxxps://mega[.]nz/file/AhEBmaBI#lyluDB_AcC4qphklfyKhGYHyJnwyRCfvX2UC-zi6YA8(分发站点)
hxxps://mega[.]nz/file/VWs2HKSQ#PnyLXgyDKNY1REGwFIG2D_K0Vmw8K0z_KM-aVGVEBWI(分发站点)
hxxp://193.143.1[.]226/129edec4272dc2c8.php (Stealc C2)

由于伪装成安装文件的恶意软件正在积极传播,因此需要谨慎。下载可执行文件时,一定要检查官网域名是否正确,不要运行从不可信链接下载的文件。

AhnLab 对本文中介绍的恶意软件样本进行了如下诊断。

IOC

StealC

MD5

c935f54929475d06b6d11c746ac64156 (setup_2024.008.20534_win64_86.exe)
d3bbe6f53dec9b65400f6477fb7ad697 (Setup_21.4_win64_86)

URL

hxxps://i.ibb[.]co/FxjS8cy/1492239061.png (PNG)
hxxps://gcdnb.pbrd[.]co/images/ZZsYr33PtdW0.png?o=1 (PNG)
hxxps://pixeldrain [.]com/api/file/Qutj1LyJ (PNG)
hxxps://iili[.]io/JV2qk2p.png (PNG)
hxxps://gcdnb.pbrd[.]co/images/eZYxpEiX6alk.png?o=1 (PNG)
hxxp://193.143.1[.]226/129edec4272dc2c8.php (StealC)

诊断

Infostealer/Win.Stealc.C5598726
Malware.Win.Generic.R638023

Vidar

MD5

2c7c25d67a82fd3ab94ec5a84ce0bf9c (S3tup.exe)
56043b1a19ee26f8a1886992a4db63fd (Setap.exe)
a1a3f635d93b9326202bdad56492f68f (Setap.exe) b226d4ea 9a
9532321e1b3fec2924ba61(Setap.exe) c7270a045c095dc78da8596c456aedd5(Set3pCrack.exe)
e5a9d16cf0d3d545add724a27a8e8556(Set3pCrack.exe)

网址

hxxps://gcdnb.pbrd[.]co/images/U8847YouMZ4x.png?o=1 (PNG)
hxxps://i.ibb[.]co/pyz97pz/1094446753.png (PNG)
hxxps://gcdnb .pbrd[.]co/images/TkqrZotY6Ps8.png?o=1 (PNG)
hxxps://i.ibb[.]co/dmyD1nF/2941038318.png (PNG)
hxxps://i.ibb[.]co /c1szv4r/3351445504.png (PNG)
hxxps://i.ibb[.]co/sQxVVvz/648044317.png (PNG)
hxxps://qu[.]ax/JRUO.png (PNG)
hxxps://gcdnb .pbrd[.]co/images/v5x684hwBX2v.png?o=1 (PNG)
hxxps://qu[.]ax/BVmc.png (PNG)
hxxps://i.ibb[.]co/Qk1PrqS/2373180300 .png (PNG)
hxxps://qu[.]ax/CwQB.png (PNG)
hxxps://gcdnb.pbrd[.]co/images/oXcmE8xyi8RR.png?o=1 (PNG)
hxxps://qu [.]ax/Ppkk.png (PNG)
hxxps://qu[.]ax/dpfx.png (PNG)
hxxps://37.27.36[.]6/ (Vidar)
hxxps://t[.] me/hypergog/ (Vidar)
hxxps://142.132.224[.]223:9001/ (Vidar)
hxxps://steamcommunity[.]com/profiles/76561199642171824/ (Vidar)
hxxps://65.109.172[. ]49/(Vidar)

诊断

Infostealer/Win.Vidar.R635589
Infostealer/Win.LummaC2.R635589

参考链接: https://asec.ahnlab.com/ko/62976/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论