伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

申博_安全防护 申博 147次浏览 已收录 0个评论

概述

在本篇文章中,我们将重点引见Mispadu,这是一个重要以拉丁美洲区域为目标的银行木马,假装成麦当劳的广告从而将其进击面扩大到Web浏览器。

我们以为,该歹意软件家属针对的是普通用户,其重要目标是盗取款项和用户凭证。在巴西区域,我们发明其背地的进击者分发了一个歹意的Google Chrome扩大顺序,该顺序时图盗取信用卡数据和在线网银数据,并假装成Boleto付出体系。

歹意软件特性

Mispadu是一个歹意软件家属,我们在针对拉丁美洲银行木马的研讨历程当中发明该歹意软件,该歹意软件家属重要针对巴西和墨西哥,运用Delphi言语编写,运用邻近的体式格局对受益者发起进击,即:显现捏造的弹出窗口,并引诱受益者在窗口上填写敏感信息。

该歹意软件具有后门功用,Mispadu能够对屏幕举行截图、模仿鼠标和键盘操纵并捕捉击键。该歹意软件能够下载并实行Visual Basic(VBS)剧本举行其本身的更新。

与其他以拉丁美洲为目标的银行木马一样,Mispadu也会网络有关受益者的信息,包括:

(1)操纵体系版本;

(2)盘算机称号;

(3)言语ID;

(4)是不是已装置了Diebold Warsaw GAS Tecnologia(一个在巴西区域经常使用的应用顺序,用于庇护用户对网上银行的接见);

(5)已装置的罕见拉丁美洲银行的应用顺序列表;

(6)已装置的平安产品列表。

与Amavaldo和Casbaneiro一样,Mispadu也具有其奇特的特性,它运用自定义加密算法来殽杂其代码中的字符串。这类殽杂的体式格局适用于一切组件,且包括其设置文件和C&C通讯。下图展示了完成该算法的中心代码,下面还展示了该算法的伪代码。

Mispadu的中心数据解密算法:

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

Mispadu数据解密算法的伪代码:

def decrypt_string(data_enc, key):
       seed = data_enc[0] - 0x41 # 'A'
       data_dec = str()
       for i in range(1, len(data_enc), 2):
              b1 = (data_enc[i] - 0x41) * 25
              b2 = data_enc[i+1] - 0x41 - seed - key
              data_dec += chr(b1 + b2)
       return data_dec

该银行木马可实行文件在其resource部份存储了4个潜伏有害的应用顺序。这些应用顺序底本都是由Nirsoft供应的其他正当文件,但进击者对其举行了修正,以完成从敕令行运转,而且没有GUI。歹意软件会从以下位置提取存储的凭证:

(1)浏览器(Google Chrome、Mozilla Firefox、Internet Explorer);

(2)电子邮件客户端(Microsoft Outlook、Mozilla Thunderbird和Windows Live Mail等)。

Mispadu歹意软件还会监控剪贴板的内容,并像Casbaneiro歹意软件一样,尝试运用特定的内容来替代剪贴板中潜伏的比特币钱包地点。然则,依据我们对进击者钱包的查询,发明这一歹意软件功用到现在为止大概不是异常胜利。

Mispadu歹意软件进击者运用的比特币钱包:

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

歹意软件散布

Mispadu歹意软件采纳两种分发体式格局,分别是垃圾邮件和歹意软件。只管前一种要领在拉丁美洲的银行木马中异常广泛,但后一种要领却不罕见,因而我们须要对其举行越发深切的剖析。下图展示了Mispadu进击者怎样睁开进击。

分发Mispadu歹意软件的垃圾邮件样本。左图展示了垃圾邮件宣称对收件人已尝试举行了3次包裹派送但均未胜利,需点击URL举行退款,该邮件重要对巴西区域的用户展开进击。右图展示了垃圾邮件提示收件人实时下载发票,以防止帐户被临时阻断,该邮件重要对墨西哥区域的用户举行进击。

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

Mispadu的分发和实行链:

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

进击者在Facebook上购买了资助广告(下图以巴西区域为例展示了截图),供应子虚的麦当劳折扣券。点击广告后,将指导潜伏受益者接见下图所展示的网页之一。不管接见者运用什么操纵体系,在点击个中的按钮以后都邑下载一个ZIP压缩包,个中包括MSI装置顺序。偶然,该压缩包中还包括正当软件,比方Mozilla Firefox或PuTTY,但这些软件只是钓饵,基础没有运用。

Mispadu进击者依据他们愿望进击的目标国度,编译了两种差别版本的银行木马。除此以外,进击者决议对每一个受进击的国度运用差别的装置顺序和后续阶段。然则,两条进击链的逻辑雷同,我们将在下面举行细致形貌。

Mispadu幕后进击者宣布的Facebook广告,其内容是子虚的麦当劳优惠券网站,广告标题翻译为:在9月的恣意一天运用它们!零丁运用的优惠券。马上猎取!

歹意网页针对巴西区域(左图)和墨西哥区域(右图)供应了两种差别的仿冒优惠券,两种优惠券所对应显现的笔墨:该优惠券只能运用一次,马上猎取!生成优惠券。

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

当潜伏的受益者实行MSI装置顺序时,将发生三个后续的VBS剧本链。第一个剧本(解包东西)从其内部解密数据并实行第二个剧本(下载东西),如下图所示。下载顺序剧本检索第三个剧本(加载东西)并实行,如下图所示。

Mispadu分发链解包剧本(第一阶段),个中须要关注的是,密钥在w2变量中盘算的值为95。

Mispadu分发链下载东西剧本(第二阶段),个中须要关注的是,硬编码的密钥与第一阶段雷同。

加载东西剧本与前两个阶段比拟要越发庞杂,它是基于特定言语环境的,加载东西剧本会搜检潜伏受益者主机的言语标识符,以考证该主机确实是位于响应目标的国度(巴西或墨西哥)。该加载东西剧本也能够检测某些虚拟环境,假如检测到运转于虚拟环境中,或没法找到所需的言语环境,那末就会退出加载东西。

假如考证经由历程,加载东西剧本会经由历程设置设置文件(稍后细致引见)并下载以下内容:

(1)Mispadu银行木马;

(2)用于实行银行木马的注入顺序(DLL);

(3)正当支撑DLL。

个中,每一个文件都作为一个零丁的ZIP压缩包下载,如上图所示。下面是Mispadu Payload解密算法的伪代码:

def decrypt_payload(data_enc):
       key = data_enc[0]
       data_dec = str()
       for i in range(1, len(data_enc)):
              data_dec += chr(data_enc[i] - ((key + i - 1) % 10))
       return data_dec

Mispadu的下载服务器会搜检所收到要求的有效性。假如发送无效的要求,会返回一些淫秽的图象,我们没法在本文章中展示这部份截图。

末了,加载东西剧本经由历程在启动文件夹中建立链接并实行注入东西来设置持久性。详细而言,是经由历程运用rundll32.exe挪用注入顺序DLL的导出函数来完成的,该函数的称号来源于先前设置的设置文件之一。注入东西找到加密的银行木马,对其举行解密并实行。

我们在Mispadu歹意软件运用的个中一台服务器上找到了一个开放的目次,而且发明该服务器上疑似存储了一些与歹意运动相干的文件。这些文件能够用于建立捏造AreaVIP网站(巴西某小型报纸的官网),并面向接见者弹出一个子虚的“Adobe Flash Player更新”。停止现在,我们没有在野外观察到这一歹意运动,我们以为这多是一同在将来预备展开的歹意运动。

由于针对巴西区域的Mispadu歹意运动运用了Tiny.CC URL短网址东西,因而我们能够网络到统计信息。如下图所示,该歹意运动仅仅在巴西区域就收成到了快要100000次点击。个中,“来自Android的点击”多是示意在Facebook上投放的广告,而不是真正的用户装备。我们还能够看到,该歹意运动正在以周期性的情势展开,个中的一个阶段在2019年9月下半旬完毕,在2019年10月初再次出现。

巴西区域Mispadu歹意运动统计:

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

来源于一封电子邮件附件

歹意运动所运用的垃圾邮件和捏造的麦当劳网站都异常风趣,由于个中都附带了捏造的优惠券。Mispadu歹意软件幕后的进击者滥用了俄罗斯的Yandex.Mail平台来存储其Payload(如下图所示)。最有大概的一种状况是,进击者在Yandex.Mail上建立了一个帐户,向用户发送了包括歹意优惠券附件的电子邮件,然后将潜伏的受益者指向该附件的直接链接。

歹意URL,从该URL下载包括歹意Mispadu MSI装置顺序的压缩包:

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

设置文件

在针对拉丁美洲的银行木马中,设置文件的运用异常少见。然则,整体而言,Mispadu应用了三个差别的设置文件,假如没有这些设置文件将没法胜利运转。一切设置文件都包括在上文剖析的加载东西剧本中,或由上述加载东西猎取。

Mispadu的实行设置信息仅存储在内存中,其内容是从某一台下载服务器(拜见“歹意软件散布”)下载的。个中包括三个症结信息:

(1)建立URL和下载注入东西所需的字符串;

(2)装置歹意软件的文件夹称号;

(3)挪用注入东西导出函数的称号,以使其实行银行木马。

通例的设置数据都邑被安排到C:\Users\Public\%COMPUTERNAME%[1]中,命名为受益者盘算机称号中的第二个字母。举例来说,一台盘算机称号为“JOHN-PC”的盘算机,该文件将会被命名为“O”。这些内容是依据加载东西剧本和实行设置文件中包括的数据而建立的,个中包括版本信息、加密密钥和文件体系途径。

C&C设置数据被存储在与前一个文件雷同位置的文件夹中,并运用雷同文件名附加上“_”标记。继承之前面的示例为例,这个文件会被命名为“O_”。文件中包括:

(1)#IP# (银行木马用于吸收后门敕令的IP地点占位符);

(2)#wp[1-3]#(与#IP#关联的3个端口的占位符);

(3)两个列表,每一个列表中包括31个域名(主列表和备份列表)。

Mispadu歹意软件依据当时的月份和日期从这些列表中挑选主C&C域名。然后,会尝试每隔几个小时从该域名中猎取C&C设置文件的更新版本,并运用它来替代现有的C&C设置文件。我们以为,这类体式格局的重要目标是添补占位符以激活后门功用。

“庇护您的Chrome”?

我们观察到,除了针对巴西的Mispadu银行木马,还存在一个歹意的Google Chrome浏览器扩大顺序与其一同分发。这个扩大的称号(如下图所示)为“Securty [sic] System 1.0”,生成能够协助用户“庇护Chrome浏览器”。这个扩大中包括以下三个歹意JavaScript文件。

Mispadu歹意软件分发链的一部份,歹意的Google Chrome扩大顺序或跟着Mispadu歹意软件的更新而同步更新,而其他的分发链则坚持稳定。

Mispadu歹意软件装置的歹意Google Chrome扩大:

组件1:掌握窗口

这个简朴的组件只要一个功用:建立一个新的Google Chrome窗口并封闭一切其他窗口。我们剖析的一切样本中,都不包括这个组件,因而我们以为它依然处在测试阶段。

组件2:盗取信用卡数据

第二部份包括网站的硬编码列表。在这些站点供应的页面中,它将会查找包括“text”(文本)、“email”(电子邮件)、“tel”(电话)、“number”(号码)、“password”(暗码)或“radio”(无线电)的任何输入字段。假如在网站上的任何位置找到类似于“CVV”或“CÓD SEG”的内容,那末当受益者提交信息时,这些输入字段的内容就会发送给进击者。这一历程异常清楚地展示了浏览器扩大的一个功用企图——盗取信用卡数据。

组件3:盗取银行和Boleto数据

第三个组件是最为先进的部份。起首,进击者运用了类似于DGS的算法,依据当前的月份和日期生成两个字符串。然后,这些字符串将以https://raw.githubusercontent.com/%FIRST_STRING%/w/master/%SECOND_STRING%的情势生成GitHub URL,个中%FIRST_STRING%是GitHub用户名。从生成的URL下载的数据会被解密为另一个URL,我们将其称为Payload URL。

与第二个组件一样,这个组件中还包括目标网站的硬编码列表。假如受益者接见这些网站中的一个,则会从Payload URL中猎取该网站上特定的JavaScript文件,并经由历程JavaScript的eval函数动态加载该文件。

除此以外,该组件还会尝试影响Boleto的一般运用,Boleto是巴西区域经常使用的一个付出体系。长期以来,这个体系一直是进击者频仍进击的目标。要运用这个体系举行付款,用户必需打印一张单子(boleto)。个中,重要包括应吸收付款的银行账户ID和条形码(如下图所示)。然后,经由历程扫描条形码或手动输入ID来完成付款。

Boleto示例:

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

歹意软件组件运用正则表达式尝试查找ID编号,并将其替代为进击者的ID(动态猎取)。另外,歹意软件会滥用正当网站来生成进击者账户对应的付款条形码。下图展示了用于滥用Boleto的代码部份。

Mispadu歹意软件的Google Chrome扩大顺序对Boleto举行滥用,个中赤色标记的是进击者账户的代码,绿色标记的是歹意条形码:

伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析

切记收集强国任务,磨砺收集安全气力

2019大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛在东华大学成功举办 网络空间是国家主权的新疆域,为认真学习贯彻习近平总书记在全国网络安全和信息化工作会议上的重要讲话精神,发挥网络安全防护对信息化发展的保障作用,宣传普及网络安全知识,提高大学生网络安全防护意识和技能, 11月16日,由上海市教育委员会主办、东华大学承办的2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛在东华大学成功举办。东华大学党委书记刘承功、副校长舒慧生,教育部高等学校网络空间安全专业教学指导委员会副主任李建华,上海市云计算产业促进中心主任翁吉云,上海市信息安全测评认证

歹意运动之间的差别

除了我们上述已剖析过的差别,以及Mispadu银行木马的差别变种会针对差别国度的银行以外,在巴西区域的歹意运动的其他方面也显著与墨西哥有所差别。

进击者好像对存储每一个设置文件的文件体系途径和文件名都做了随机化,并为受益者装置了银行木马。另外,加载东西剧本还包括一部份当前还没有投入运用的内容,个中包括进击者能够滥用Windows中的mshta.exe来实行现实的银行木马,而不再是rundll.exe。

总结

在这篇文章中,我们重要剖析了Mispadu歹意软件,这是我们在研讨时期发明的一个自力银行木马家属,重要针对拉丁美洲区域举行进击。我们已剖析了歹意软件的重要特性,包括我们之所以将其定位为针对拉丁美洲的银行木马的缘由。该歹意软件运用Delphi言语编写,重要针对巴西和墨西哥,应用弹出窗口举行社会工程学进击,而且包括后门功用。

我们对该歹意软件的最新散布链举行了形貌,并将视线聚焦在个中一些风趣的处所上,比方进击者滥用Yandex.Mail来存储歹意Payload,同时进击者还投放了Facebook广告。另外,我们还剖析了Mispadu运用的设置文件。

末了,我们剖析了一个歹意的Google Chrome扩大顺序,我们观察到Mispadu在巴西分发,这个扩大顺序的目标是经由历程进击巴西的Boleto付款平台来盗取信用卡信息、敏感银行信息,并尝试从受益者那边盗取款项。

假如人人有任何疑问,迎接经由历程[email protected]与我们联络。本文触及的要挟目标也能够在我们的GitHub存储库中找到。

要挟目标

针对巴西的歹意运动

A4EDA0DD2C33A644FEEF170F5C24CF7595C19017(MSI装置东西,检测为VBS/TrojanDownloader.Agent.RVY)

A9BADCBF3BD5C22EEB6FAF7DB8FC0A24CF18D121(Mispadu注入东西,检测为Win32/Injector.EHXF)

337892E76F3B2DF0CA851CCF4479E56EAF2DB8FD(Mispadu银行木马,PE编译时候戳为2019年9月8日,检测为Win32/Spy.Mispadu.C)

A8CD12CC0BBD06F14AA136EA5A9A2E299E450B18(Mispadu银行木马,PE编译时候戳为2019年10月2日,检测为Win32/Spy.Mispadu.C)

针对墨西哥的歹意运动

CFE21DBFB97C2E93F099D351DE54099A3FC0C98B(MSI装置东西,检测为VBS/TrojanDownloader.Agent.RVY)

251AC7386D1B376FB1CB0E02BDFC45472387C7BC(Mispadu注入东西,检测为Win32/Injector.EHXF)

A4FC4162162A02CE6FEADFE07B22465686A0EC39(Mispadu银行木马,PE编译时候戳为2019年9月10日,检测为Win32/Spy.Mispadu.J)

710A20230B9774B3D725539385D714B2F80A5599(Mispadu银行木马,PE编译时候戳为2019年9月11日,检测为Win32/Spy.Mispadu.J)

Google Chrome歹意扩大

3486F6F21034A33C5425A398839DE80AC88FECA8(组件1:掌握窗口,检测为JS/Spy.Banker.DQ)

1D19191FB2E9DED396B6352CBF5A6746193D05E8(组件2:盗取信用卡数据,检测为JS/Spy.Banker.DQ)

22E6EBDFAB7C2B07FF8748AFE264737C8260E81E(组件3:盗取银行和Boleto数据,检测为JS/Spy.Banker.DQ)

盗取凭证的潜伏有害应用顺序

63DCBE2DB9CC14564EB84D5E953F2F9F5C54ACD9(电子邮件客户端凭证盗取顺序,检测为Win32/PSWTool.MailPassView.E)

8B950BF660AA7B5FB619E1F6E665D348BF56C86A(Google Chrome凭证盗取顺序,检测为Win32/PSWTool.ChromePass.A)

F6021380AD6E26038B5629189A7ADA5E0022C313(Mozilla Firefox凭证盗取顺序,检测为Win32/PSWTool.PassFox.F)

76F70276EB95FFEC876010211B7198BCBC460646(Internet Explorer凭证盗取顺序,检测为Win32/PSWTool.IEPassView.NAH)

歹意文件称号

C:\Users\Public\%COMPUTERNAME%[1]

C:\Users\Public\%COMPUTERNAME%[1]_

C:\Users\Public\{winx86,libeay32,ssleay32}.dll (由加载东西剧本下载的正当DLL;部份指导符)

歹意服务

http://18.219.25[.]133/br/mp1a{1,sq,sl,ss}.aj5

http://3.19.223[.]147/br/mp1a{1,sq,sl,ss}.aj5

http://51.75.95[.]179/la8a{1,sq,sl,ss}.ay2

捏造优惠券URL

巴西:http://promoscupom[.]cf/

巴西:http://mcdonalds.promoscupom[.]cf/index3.html

墨西哥:http://mcdonalds.promoscupom[.]cf/index2.html

比特币钱包

3QWffRcMw6mmwv4dCyYZsXYFq7Le9jpuWc

MITRE ATT&CK手艺

1、战术:初始接见

称号:鱼叉式链接(T1192)

形貌:在Mispadu垃圾邮件歹意运动中,受益者在点击歹意链接后会下载Payload。

2、战术:实行

称号:Rundll32(T1085)

形貌:Mispadu银行木马借助rundll32.exe运转的注入东西来实行。

3、战术:持久性

称号:浏览器扩大(T1176)

形貌:针对巴西的Mispadu变种运用Google Chrome浏览器扩大。

称号:注册表运转键、启动文件夹

形貌:Mispadu经由历程在启动文件夹中建立链接来保证持久性。

4、战术:回避防备

称号:解密或解码文件或信息(T1140)

形貌:Mispadu运用编码后的设置文件。

称号:假装(T1036)

形貌:Mispadu假装成优惠券。

称号:运用剧本(T1064)

形貌:Mispadu在其分发链中仅运用VBS剧本。

5、战术:凭证接见

称号:输入捕捉(T1056)

形貌:Mispadu能够运转键盘记录顺序,其对应的Google Chrome扩大顺序经由历程对输入内容举行捕捉来盗取种种敏感信息。

称号:文件中的凭证(T1081)

形貌:Mispadu运用其他东西,从文件中提取电子邮件客户端和Web浏览器的凭证。

称号:注册表中的凭证(T1214)

形貌:Mispadu运用其他东西,从Windows注册表中提取电子邮件客户端和Web浏览器的凭证。

6、战术:发明

称号:发明文件和目次(T1083)

形貌:Mispadu搜刮种种体系途径,以肯定盘算机上装置了哪些应用顺序。

称号:发明历程(T1057)

形貌:Mispadu搜刮种种历程称号,以肯定受益盘算机上正在运转哪些应用顺序。

称号:发明平安软件(T1063)

形貌:Mispadu会扫描体系中已装置的平安软件。

称号:体系信息发明(T1082)

形貌:Mispadu会提取操纵体系的版本、盘算机称号和言语ID。

7、战术:网络

称号:剪贴板数据(T1115)

形貌:Mispadu捕捉并替代剪贴板中的比特币钱包数据。

称号:屏幕捕捉(T1113)

形貌:Mispadu包括截屏的功用。

8、战术:敕令和掌握

称号:自定义加密协议(T1024)

形貌:MIspadu是用自定义加密协议来庇护其数据。

9、战术:渗入

称号:在敕令和掌握通道上的渗入(T1041)

形貌:Mispadu将网络到的数据发送到C&C服务器。

本文翻译自:https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-unhappy-meal/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明伪装成麦当劳广告并运用歹意Chrome扩大:Mispadu歹意软件剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址