四十餘款破解工具攜帶病毒 盜取信用卡賬戶等隱私信息
近日,火絨安全團隊截獲病毒「Socelars」,正通過KMSpico、Adobe Photoshop 等四十餘款軟體破解工具進行傳播。該病毒會利用被感染用戶的facebook臨時登錄憑證,專門竊取用戶當前綁定的信用卡賬戶信息。
一、 概述
在本次截獲到的樣本中,該病毒被植入在KMSpico、WindowsLoader等四十餘種破解工具中,具體帶毒破解工具列表如下圖所示。用戶一旦下載運行攜帶病毒的軟體,就會激活病毒。
病毒「Socelars」首次出現於2017年8月,至今依然活躍,並且持續不斷的更新變種。
該病毒入侵電腦後,會獲取用戶facebook網站的登錄憑證,然後利用會話劫持,獲取當前用戶綁定的信用卡賬戶、好友信息等隱私數據。
由於國內外大多數安全廠商會將破解工具識別為病毒,不論它是否真的包含惡意代碼。所以,很多用戶在下載使用破解工具時,會認為安全軟體的報毒都是誤報,直接關閉安全軟體,或選擇信任,形成了心理盲區。部分病毒製作者正是利用這種心理,混進了安全軟體的信任列表,我們之前報道過的Justler病毒,也是利用相似的方法來躲避安全軟體的查殺。
「火絨安全軟體」通過基於虛擬沙盒的反病毒引擎進行報毒,僅會對真正具有病毒行為的軟體報毒,因此建議用戶面對報毒的軟體提高警惕,「火絨安全軟體」最新版可查殺病毒「Socelars」。同時,建議大家通過官方網站下載軟體,避免遭到病毒攻擊。
二、 詳細分析
「Socelars」盜號木馬主要由三部分構成,其病毒模塊devenv.exe(TrojanDownloader/Socelars.a)是一個下載者木馬,負責下載和安裝另外兩個盜號模塊winhttp.dll(TrojanSpy/Socelars.c)和XService.dll(TrojanSpy/Socelars.b)。
兩個盜號模塊會查詢瀏覽器Cookie等文件中存儲的與facebook相關的登陸憑證,然後利用會話劫持的攻擊技術,獲取當前用戶facebook賬戶中的支付信息,好友信息等,並將其發送到C&C伺服器。「Socelars」盜號木馬完整的病毒邏輯,如下圖所示:
「Socelars」盜號木馬執行流程
下面對各模塊逐個展開分析:
devenv.exe
該病毒偽裝成Microsoft VisualStudio 2010的主程序devenv.exe,文件屬性,如下圖所示:
devenv.exe的文件屬性
當病毒運行時會判斷當前系統是否安裝GoogleChrome瀏覽器,如果安裝了,則從註冊表中讀取其安裝路徑InstallLocation,然後判斷該路徑下chrome.exe程序的編譯版本,從遠程伺服器下載相應版本的病毒動態庫winhttp.dll到此路徑下,因為chrome.exe會調用winhttp.dll,所以病毒利用鏡像劫持技術,執行在DllEntryPoint中存放的惡意代碼。相關代碼邏輯如下圖所示:
利用鏡像劫持技術載入winhttp.dll
使用火絨劍觀察winhttp.dll的載入情況如下圖:
使用火絨劍觀察winhttp.dll的載入情況
接下來,該病毒會判斷%USERPROFILE%AppDataLocalXServiceXService.dll這個病毒文件是否存在,如果不存在則從遠程伺服器下載此動態庫,並調用其InstallSvc導出函數,將其註冊為名為WinService的系統服務。主要病毒邏輯,如下圖所示:
下載並執行XService.dll
winhttp.dll
winhttp.dll利用鏡像劫持技術,在Google Chrome瀏覽器運行時被載入,執行DllEntryPoint中的病毒代碼,為了不影響程序正常運行,該動態庫會在運行後載入正常的winhttp.dll,並將自身的導出函數動態映射到正常系統函數上,以避免程序在執行過程中出錯。以WinHttpOpen為例,其映射前後代碼,如下圖所示:
病毒映射WinHttpOpen函數地址
所以當chrome程序運行之後,可以利用火絨劍觀察到chrome.exe進程中含有兩個winhttp.dll模塊,其中安全狀態為「未知文件」的模塊為病毒模塊,如下圖所示:
火絨劍截圖
病毒會獲取當前進程的完整映像,並判斷當前映像是否為chrome.exe,若是,則創建一個互斥量,以防止病毒多次運行。相關代碼,如下圖所示:
判斷當前進程並創建互斥量
然後創建一個線程spy_main:
該線程會通過SQL語句去查詢%appdata%LocalGoogleChromeUser DataDefault目錄下的cookies文件和Login Data文件的name(用戶名)和host_key(所屬域名信息)。其查詢邏輯如下圖所示:
查詢Cookie文件中的敏感信息
不同配置文件與其對應的SQL語句:
利用SQl語句查詢Login Data中的敏感信息:
利用SQL語句查詢Login Data中的信息
利用SQL語句查詢cookies文件中的敏感信息:
查詢cookies文件中的敏感信息
當病毒獲取到Cookie中的c_user(用戶ID)和xs(身份驗證令牌)之後,可以實現對facebook網站的會話劫持,以Cookie所有者身份訪問伺服器,並獲取該用戶的支付方式,公共主頁,好友列表中的敏感信息。相關代碼,如下圖所示:
代碼片段
以獲取支付信息為例,下圖為病毒利用會話劫持請求當前用戶的facebook支付信息:
會話劫持的方式請求facebook支付信息頁面
請求到的配置文件如下圖所示:
配置文件
病毒會匹配其中的「credit_cards」(信用卡賬號)和「paypals」信息,相關代碼如下圖所示:
匹配paypals等信息
當病毒獲取到所需的敏感信息之後,會將這些數據構造成json文件格式,然後將其發送到C&C伺服器(hxxp://api.jiekou666.com/api/send)。相關代碼,如下圖所示:
代碼片段
向C&C伺服器發送敏感數據,如下圖所示:
這部分會話劫持的代碼邏輯與XService.dll中對facebook的劫持邏輯相同。
XService.dll
該病毒動態庫被下載並註冊為系統服務,以長期駐留在系統中。代碼邏輯如下圖所示:
將病毒註冊為系統服務
該病毒會去查找相關目錄下保存的MicrosoftEdge和Internet Explorer瀏覽器的Cookie文件,且其查找邏輯相似,以Microsoft Edge為例,其查找Cookie文件的邏輯如下圖所示:
病毒查找Edge瀏覽器Cookie文件
不同瀏覽器Cookie文件存放目錄:
之後病毒會利用與winhttp.dll相同的會話劫持技術,獲取當前用戶的facebook賬戶中保存的支付信息等。
三、 附錄
文中涉及樣本SHA256:
※Ruark Audio發布無線互聯音響MRx系列 售560美元
※微軟將資助利用人工智慧幫助殘疾人士的方法
TAG:希恩貝塔 |