四十餘款破解工具帶病毒 盜取信用卡賬戶等隱私信息

近日，火絨安全團隊截獲病毒「Socelars」，正通過KMSpico、Adobe Photoshop 等四十餘款軟體破解工具進行傳播。該病毒會利用被感染用戶的facebook臨時登錄憑證，專門竊取用戶當前綁定的信用卡賬戶信息。

一、 概述

在本次截獲到的樣本中，該病毒被植入在KMSpico、WindowsLoader等四十餘種破解工具中，具體帶毒破解工具列表如下圖所示。用戶一旦下載運行攜帶病毒的軟體，就會激活病毒。

病毒「Socelars」首次出現於2017年8月，至今依然活躍，並且持續不斷的更新變種。

該病毒入侵電腦後，會獲取用戶facebook 網站 的登錄憑證，然後利用會話劫持，獲取當前用戶綁定的信用卡賬戶、好友信息等隱私數據。

由於國內外大多數安全廠商會將破解工具識別為病毒，不論它是否真的包含惡意代碼。所以，很多用戶在下載使用破解工具時，會認為安全軟體的報毒都是誤報，直接關閉安全軟體，或選擇信任，形成了心理盲區。部分病毒製作者正是利用這種心理，混進了安全軟體的信任列表，我們之前報道過的Justler病毒，也是利用相似的方法來躲避安全軟體的查殺。

「火絨安全軟體」通過基於虛擬沙盒的反病毒引擎進行報毒，僅會對真正具有病毒行為的軟體報毒，因此建議用戶面對報毒的軟體提高警惕，「火絨安全軟體」最新版可查殺病毒「Socelars」。同時，建議大家通過官方網站下載軟體，避免遭到病毒攻擊。

二、 詳細分析

「Socelars」盜號木馬主要由三部分構成，其病毒模塊devenv.exe（TrojanDownloader/Socelars.a）是一個下載者木馬，負責下載和安裝另外兩個盜號模塊winhttp.dll（TrojanSpy/Socelars.c）和XService.dll（TrojanSpy/Socelars.b）。

兩個盜號模塊會查詢瀏覽器Cookie等文件中存儲的與facebook相關的登陸憑證，然後利用會話劫持的攻擊技術，獲取當前用戶facebook賬戶中的支付信息，好友信息等，並將其發送到C&C 伺服器 。「Socelars」盜號木馬完整的病毒邏輯，如下圖所示：

「Socelars」盜號木馬執行流程

下面對各模塊逐個展開分析：

devenv.exe

該病毒偽裝成Microsoft VisualStudio 2010的主程序devenv.exe，文件屬性，如下圖所示：

devenv.exe的文件屬性

當病毒運行時會判斷當前系統是否安裝GoogleChrome瀏覽器，如果安裝了，則從註冊表中讀取其安裝路徑InstallLocation，然後判斷該路徑下chrome.exe程序的編譯版本，從遠程伺服器下載相應版本的病毒動態庫winhttp.dll到此路徑下，因為chrome.exe會調用winhttp.dll，所以病毒利用鏡像劫持技術，執行在DllEntryPoint中存放的惡意代碼。相關代碼邏輯如下圖所示：

利用鏡像劫持技術載入winhttp.dll

使用火絨劍觀察winhttp.dll的載入情況如下圖：

使用火絨劍觀察winhttp.dll的載入情況

接下來，該病毒會判斷%USERPROFILE%AppDataLocalXServiceXService.dll這個病毒文件是否存在，如果不存在則從遠程伺服器下載此動態庫，並調用其InstallSvc導出函數，將其註冊為名為WinService的系統服務。主要病毒邏輯，如下圖所示：

下載並執行XService.dll

winhttp.dll

winhttp.dll利用鏡像劫持技術，在Google Chrome瀏覽器運行時被載入，執行DllEntryPoint中的病毒代碼，為了不影響程序正常運行，該動態庫會在運行後載入正常的winhttp.dll，並將自身的導出函數動態映射到正常系統函數上，以避免程序在執行過程中出錯。以WinHttpOpen為例，其映射前後代碼，如下圖所示：

病毒映射WinHttpOpen函數地址

所以當chrome程序運行之後，可以利用火絨劍觀察到chrome.exe進程中含有兩個winhttp.dll模塊，其中安全狀態為「未知文件」的模塊為病毒模塊，如下圖所示：

火絨劍截圖

病毒會獲取當前進程的完整映像，並判斷當前映像是否為chrome.exe，若是，則創建一個互斥量{284B2F0A-C0FF-6D76-903F-71C3FC854C92}，以防止病毒多次運行。相關代碼，如下圖所示：

判斷當前進程並創建互斥量

然後創建一個線程spy_main：

該線程會通過SQL語句去查詢%appdata%LocalGoogleChromeUser DataDefault目錄下的cookies文件和Login Data文件的name（用戶名）和host_key（所屬 域名 信息）。其查詢邏輯如下圖所示：

查詢Cookie文件中的敏感信息

不同配置文件與其對應的SQL語句：

利用SQl語句查詢Login Data中的敏感信息：

利用SQL語句查詢Login Data中的信息

利用SQL語句查詢cookies文件中的敏感信息：

查詢cookies文件中的敏感信息

當病毒獲取到Cookie中的c_user(用戶ID)和xs(身份驗證令牌)之後，可以實現對facebook網站的會話劫持，以Cookie所有者身份訪問伺服器，並獲取該用戶的支付方式，公共主頁，好友列表中的敏感信息。相關代碼，如下圖所示：

代碼片段

以獲取支付信息為例，下圖為病毒利用會話劫持請求當前用戶的facebook支付信息：

會話劫持的方式請求facebook支付信息頁面

請求到的配置文件如下圖所示：

配置文件

病毒會匹配其中的「credit_cards」（信用卡賬號）和「paypals」信息，相關代碼如下圖所示：

匹配paypals等信息

當病毒獲取到所需的敏感信息之後，會將這些數據構造成json文件格式，然後將其發送到C&C伺服器（hxxp://api.jiekou666.com/api/send）。相關代碼，如下圖所示：

代碼片段

向C&C伺服器發送敏感數據，如下圖所示：

這部分會話劫持的代碼邏輯與XService.dll中對facebook的劫持邏輯相同。

XService.dll

該病毒動態庫被下載並註冊為系統服務，以長期駐留在系統中。代碼邏輯如下圖所示：

將病毒註冊為系統服務

該病毒會去查找相關目錄下保存的MicrosoftEdge和Internet Explorer瀏覽器的Cookie文件，且其查找邏輯相似，以Microsoft Edge為例，其查找Cookie文件的邏輯如下圖所示：

病毒查找Edge瀏覽器Cookie文件

不同瀏覽器Cookie文件存放目錄：

之後病毒會利用與winhttp.dll相同的會話劫持技術，獲取當前用戶的facebook賬戶中保存的支付信息等。

三、 附錄

文中涉及樣本SHA256：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！