恶意软件加载程序(也称为植入程序或下载程序)是地下犯罪活动中的流行商品。他们的主要功能是成功危害一台机器并部署一个或多个额外的有效负载。
好的加载程序可以在推送其他恶意软件之前避免检测并将受害者识别为合法(即不是沙箱)。这部分非常关键,因为装载机的价值直接与其“客户”的满意度相关。
在这篇博文中,我们描述了一次使用对我们来说很陌生的加载程序的恶意广告活动。该程序是用 Go 语言编写的,并使用一种有趣的技术来部署其后续有效负载,即 Rhadamanthys 窃取程序。
恶意广告以系统管理员为目标
PuTTY 是一种非常流行的 Windows SSH 和 Telnet 客户端,IT 管理员已使用多年。威胁行为者购买了一个自称是 PuTTY 主页的广告,并出现在 Google 搜索结果页面的顶部,就在官方网站之前。
在此示例中,广告看起来很可疑,只是因为广告代码段显示了完全不相关的域名 ( arnaudpairoto[.]com )。情况并非总是如此,我们不断看到许多与冒充品牌完全匹配的恶意广告。
假 PuTTY 网站
广告 URL 指向攻击者控制的域,他们可以通过向非真正受害者的访问者显示“合法”页面来轻松绕过安全检查。例如,爬虫、沙箱或扫描器将看到这个半成品博客:
来自美国的真正受害者将被重定向到一个看起来和感觉都与 putty.org 完全相同的假网站。但最大的区别之一是下载链接。
恶意负载是通过两步重定向链下载的,这是我们并不总是看到的。
puttyconnect[.]info/1.php
HTTP/1.1 302 Found
Location: astrosphere[.]world/onserver3.phpastrosphere[.]world/onserver3.php
HTTP/1.1 200 OK
Server: nginx/1.24.0
Content-Type: application/octet-stream
Content-Length: 13198274
Connection: keep-alive
Content-Description: File Transfer
Content-Disposition: attachment; filename="PuTTy.exe"我们相信 astrosphere[.]world 服务器正在执行一些代理检查,同时还记录受害者的 IP 地址。稍后在下载辅助有效负载之前将检查此 IP 地址。
PuTTy.exe 是恶意软件,是用 Go 语言(版本 1.21.0)编写的植入程序。
它的作者可能给它起了个名字“ Dropper 1.3 ”:
后续有效载荷
执行植入程序后,将对受害者的公共 IP 地址进行 IP 检查。这样做可能只是为了继续浏览恶意广告并从虚假网站下载恶意软件的用户。
zodiaacrealm[.]info/api.php?action=check_ip&ip=[IP Address]如果找到匹配项,释放器将继续从另一台服务器 (192.121.16[.]228:22) 检索后续有效负载,如下图所示:
为了获取此数据,我们看到它使用了通过 Ubuntu 服务器上的 OpenSSH 实现的SSHv2 (Secure Shell 2.0)协议。我们只能想到利用这个协议让恶意软件的下载更加隐蔽。
该有效负载是 Rhadamanthys,由父进程 PuTTy.exe 执行:
恶意广告/加载程序组合
我们通过恶意广告活动看到了不同类型的加载程序,包括我们最近介绍的FakeBat 。鉴于加载程序与恶意广告基础设施的联系有多紧密,很可能同一威胁行为者正在控制两者。他们向其他犯罪分子提供的服务是恶意软件交付服务之一,他们负责从广告到加载程序再到最终有效负载的整个部署过程。
我们向 Google 报告了此活动。当我们检测到假冒 PuTTY 安装程序为Trojan.Script.GO时, Malwarebytes 和ThreatDown用户受到保护。
具有DNS 过滤功能的 ThreatDown 用户可以在其控制台中启用广告拦截,以防止来自恶意广告的攻击。
妥协指标
诱饵广告域名
arnaudpairoto[.]com假冒网站
puttyconnect[.]infoPuTTY
astrosphere[.]world
0caa772186814dbf84856293f102c7538980bcd31b70c1836be236e9fa05c48dIP检查
zodiacrealm[.]info
Rhadamanthys
192.121.16[.]228:22
bea1d58d168b267c27b1028b47bd6ad19e249630abb7c03cfffede8568749203参考链接: https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys
图片来源网络目标可联系删除
