子虚Pirate Chick VPN推送AZORult木马 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

子虚Pirate Chick VPN推送AZORult木马

申博_安全预警 申博 139次浏览 未收录 0个评论

研究人员剖析发明有告白歹意软件装置名为Pirate Chick的VPN软件,该VPN软件会衔接到长途服务器来下载和装置歹意payload——AZORult信息盗取木马。

由于告白歹意软件须要看起来尽量正当和公道,该歹意软件请求用户赞同隐私政策和知情赞同,看起来跟真的网站如出一辙。

下面是Pirate Chick VPN的网站,看起来和其他VPN站点如出一辙,另有3个月的免费试用期。

子虚Pirate Chick VPN推送AZORult木马

Pirate Chick网站

歹意软件运用的是一家英国的ATX国际公司的证书举行署名,如许使可实行文件越发可托。研究人员也发明大多数署名的歹意软件都与英国公司相关联。

子虚Pirate Chick VPN推送AZORult木马

署名的可实行文件

研究人员剖析该样本发明这是一款伪装成正当VPN软件的木马,会在背景下载和装置歹意软件payload。

隐蔽的歹意payload

当实行Pirate Chick VPN的装置文件时,它会下载和装置一个payload到%Temp%文件夹并实行该payload。之前的payload是AZORult信息盗取器木马,如今的payload变成了历程监控器,作为启动别的的进击运动的暂时添补。

第一次实行时,装置文件会将一些字符串融入到历程名中,好比ImmunityDebugger, Fiddler, Wireshark, Regshot, ProcessHacker。然后搜检运转进列表,若是检测到列表中的历程,就跳过歹意软件payload的装置。

子虚Pirate Chick VPN推送AZORult木马历程搜检的字符串

然后歹意软件会衔接到https://www.piratechickvpn.com/collectStatistics.php,该网站会依据受害者的IP地点返回地点区域。若是用户来自俄罗斯、白俄罗斯、乌克兰或哈萨克斯坦,就跳过歹意payload。

子虚Pirate Chick VPN推送AZORult木马

搜检是不是来自俄语国度

然后搜检用户是不是在Vmware, VirtualBox, HyperV下运转,若是是就跳过歹意payload。

若是用户经由过程了以上搜检,就从https://www.piratechickvpn.com/wohsm.txt下载文件,对内容实行特性替代,然后base64解码字符串。

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

在之前的文章中,我们给大家介绍了DEF CON CHINA 1.0中的两位神级演讲嘉宾,他们将给我们带来“IPv666 – 魔鬼的地址”的议题分享。今天,再给大家爆料另一位神秘嘉宾。他将在DEF CON CHINA 1.0 上为我们带来“现代恶意软件:反混淆,仿真和隐匿程序”的议题演讲。 Alexandre Borges是Blackstorm Security的CEO,是一位资深的安全研究员,多年来一直致力于逆向工程、恶意软件分析、数字取证、rootkit和软件漏洞利用等领域。社会兼职有Journal of Digital Forensics, Security and Law杂志审稿人,Digital Law And Compliance Committee委员。 Alexandre曾在多个顶级安全会议上发表过演讲,如HITB 2019年(阿姆斯特丹)和2019年CONFidence会议(波兰),DEFCON 2018,H2HC会议(2015年和2016年),BSIDES(2016年,2017年和2018年),BHack(2018年)等。 除此之外,Alexandre还开展关于恶意软件分析、内存分析、数字取证、移动取证和移动恶意软件分析的培训课程。 下面让我们领略下Alexandre Borges的一些分享。 Malwoverview Alexandre是Malwoverview恶意软件分类工具的创建者和维护者: https://github.com/alexandreborges/malwoverview Malwoverview(Malwoverview.py)是一

这会将下载的文件转成一个事情的可实行文件,事情的可实行文件保存为%Temp%\wohsm.exe,然后实行。可实行文件如今是Sysinternals Process Monitor历程监控东西,之前是AZORult木马。

子虚Pirate Chick VPN推送AZORult木马

在下载的文件中替代字符并实行

末了,Pirate Chick VPN的主装置文件以下图所示:

子虚Pirate Chick VPN推送AZORult木马Pirate Chick装置界面

VPN胜利装置后,用户会看到以下界面请求用户上岸。

子虚Pirate Chick VPN推送AZORult木马

Pirate Chick VPN Signup

Signup屏幕没法一般显现,但这表明了木马怎样伪装成VPN顺序,并装置歹意payload。

经由过程告白歹意软件流传

依据Any.Run session的剖析,研究人员发明Pirate Chick VPN经由过程捏造的Adobe Flash Players 和告白歹意软件举行流传。

在曩昔,重要装置告白歹意软件和其他用户不想要的扩大,然则如今最先装置挖矿机、讹诈软件、暗码盗取木马和告白点击器等。

在本案例中,装置器伪装成Flash Player下载器,伪装成Flash Player晋级。

子虚Pirate Chick VPN推送AZORult木马

伪装成Flash Player晋级

从Any.Run process graph中能够看出,piratechickvpnsetup.exe装置了vpnclientupdate.exe(实际上是AZORult)。

子虚Pirate Chick VPN推送AZORult木马

AZORult沾染图

现在Pirate Chick VPN已不再装置暗码盗取器木马,然则会衔接到站点,下载和运转殽杂版的Procmon.exe。并且进击者很轻易就能够将其替代为其他想要装置的歹意软件。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明子虚Pirate Chick VPN推送AZORult木马
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址