概览
本周,SonicWall Capture Labs威胁研究团队调查了一个Orcinius恶意软件样本。这是一个多级木马,它使用Dropbox和Google Docs下载第二级有效负载并保持更新。它包含一个混淆的VBA宏,可以连接到Windows来监控正在运行的窗口和击键,并使用注册表项创建持久性。
感染周期
初始感染方法是Excel电子表格,在本例中为“CALENDARIO AZZORTI. xls”。
图1:初始文件检测
该文件似乎是一个意大利日历,其中包含三个工作表,讨论各个城市的计费周期。
图2:打开时看到的可见工作表之一
该文件有一个VBA宏,该宏已使用称为“VBA跺ping”的技术进行了修改,其中原始源代码被销毁,只留下编译后的p代码。这意味着在文档中查看宏将不显示任何内容,或者显示打开(和关闭)文件时运行的代码的无害版本,如Olevba所示。
图3:显示一些恶意功能的Olevba工具输出
在运行时,该文件将运行宏并执行以下操作:
- “HK CU\Software\Microsoft\Office\Excel\Security\VB A警告”“HK CU\Software\Microsoft\Office\Word\Security\VB A警告”
- 枚举当前使用EnumThreadWindows运行的窗口
- 通过将密钥写入HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Resiliency\StartupItems来设置持久性
- 到达两个编码的URL并尝试使用WScript.Shell下载
- 使用SetWindowsHookEx监控键盘输入
- 为激活和下载尝试创建多个随机计时器
图4:枚举正在运行的窗口
图5:为键盘监控设置挂钩
图6:URL和Synaptics引用
还有对“Synaptics. exe”和“cache1.exe”的引用。此示例和列出的URL与Remcos、AgentTesla、Neshta、HTMLDropper和其他伪装成“Synaptics.exe”的URL相关联,并且可以在VirusTotal上找到。在运行时,两个地址的页面都不可用。
SonicWall保护
为确保SonicWall客户准备好应对此恶意软件可能导致的任何利用,已发布以下签名:
- Orcinius
IOCs。
28dd92363338b539aeec00df283e20666ad1bdee90d78c6376f615a0b9481f97
网址
www-en v. dropbox-dns[.]com
hxxps://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&导出=下载
hxxps://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
参考文章: https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/
图片来源于网络侵权可删
