威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

【安全通告】Agent Tesla新型间谍木马来袭,竟伪装成PDF文档
发布时间 :2021年03月02日
分享:

安全通告


近日,威尼斯432888cam截获了Agent Tesla间谍木马最新变种文件,其也被称为NEGASTEAL。本次截获的变种文件将自身伪装成PDF文档,作为邮件附件通过钓鱼邮件进行传播。其利用社会工程学诱骗用户点击附件的PDF文件,其实际上是EXE可执行文件。查看反编译程序,威尼斯432888cam发现其看起来像游戏小程序,实际上,该程序在隐蔽的位置偷偷加载了一个恶意模块,威尼斯432888cam将其命名为TrojanSpy.MSIL.NEGASTEAL.DYSHPF。



1.jpg


攻击流程



2.jpg



病毒详细分析



伪装自身

病毒更改程序图标试图将自身伪装成PDF文件,通过查看扩展名发现其实际上是EXE可执行文件。


3.jpg


 

反编译程序后,威尼斯432888cam发现该病毒类似于小游戏程序,实际上,程序在隐蔽的位置偷偷加载了一个恶意模块。

4.jpg


5.jpg



Unknown模块


该模块载入了父进程中的一个资源:


6.jpg


经过一系列解密操作后得到一个PE可执行文件,并保存到array变量中。


7.jpg



Array Pe 文件


将该Pe文件Dump出来继续分析,观察该文件的函数列表,发现其导入了几个Win32Api函数,如下图所示:


8.jpg



通过进一步分析,我能发现其使用了用户模式注入技术执行Payload,威尼斯432888cam将Payload Dump出来做进一步分析。


CreateProcess()创建一个进程。

GetThreadContext()读取进程线程的上下文标志。

VirtualAllocEx()进程中申请内存空间存放Payload。

WriteProcessMemory()将Payload数据写入申请的进程空间中。

SetThreadContext()告诉进程线程Payload从哪里开始执行。

ResumeThread()恢复线程执行。


9.jpg

10.jpg



【DDAn检测截图】


Payload


?收集浏览器用户信息(浏览器上保存的密码)。


"Brave"

@"C:\Users\USER\AppData\Local\BraveSoftware\Brave-Browser\User Data"


"CentBrowser"

@"C:\Users\USER\AppData\Local\CentBrowser\User Data"


"Chromium"

@"C:\Users\USER\AppData\Local\Chromium\User Data"


"Uran"

@"C:\Users\USER\AppData\Local\uCozMedia\Uran\User Data"


"Coccoc"

@"C:\Users\USER\AppData\Local\CocCoc\Browser\User Data"


"Epic Privacy"

@"C:\Users\USER\AppData\Local\Epic Privacy Browser\User Data"


"7Star"

@"C:\Users\USER\AppData\Local\7Star\7Star\User Data"


"Kometa"

@"C:\Users\USER\AppData\Local\Kometa\User Data"


"Vivaldi"

@"C:\Users\USER\AppData\Local\Vivaldi\User Data"


"Sputnik"

@"C:\Users\USER\AppData\Local\Sputnik\Sputnik\User Data"


"Cool Novo"

@"C:\Users\USER\AppData\Local\MapleStudio\ChromePlus\User Data"


"Sleipnir 6"

@"C:\Users\USER\AppData\Local\Fenrir Inc\Sleipnir5\setting\modules\ChromiumViewer"


"QIP Surf"

@"C:\Users\USER\AppData\Local\QIP Surf\User Data"


"Comodo Dragon"

@"C:\Users\USER\AppData\Local\Comodo\Dragon\User Data"


"Orbitum"

@"C:\Users\USER\AppData\Local\Orbitum\User Data"


"360 Browser"

@"C:\Users\USER\AppData\Local\360Chrome\Chrome\User Data"


"Liebao Browser"

@"C:\Users\USER\AppData\Local\liebao\User Data"


"Opera Browser"

@"C:\Users\USER\AppData\Roaming\Opera Software\Opera Stable"


"Citrio"

@"C:\Users\USER\AppData\Local\CatalinaGroup\Citrio\User Data"


"Elements Browser"

@"C:\Users\USER\AppData\Local\Elements Browser\User Data"


"Chedot"

@"C:\Users\USER\AppData\Local\Chedot\User Data"


"Amigo"

@"C:\Users\USER\AppData\Local\Amigo\User Data"


"Torch Browser"

@"C:\Users\USER\AppData\Local\Torch\User Data"


"Yandex Browser"

@"C:\Users\USER\AppData\Local\Yandex\YandexBrowser\User Data"


"Iridium Browser"

@"C:\Users\USER\AppData\Local\Iridium\User Data"


"Coowon"

@"C:\Users\USER\AppData\Local\Coowon\Coowon\User Data"


11.jpg


?收集PopPassword和SmtpPassword。


12.jpg


?收集Psi+软件的配置信息。


13.jpg

 

?收集Trillian及时通讯软件的用户信息。


14.jpg



?收集Pocomail的用户信息。


15.jpg



?收集FoxMail相关信息。


16.jpg


?收集k-meleon浏览器相关信息。


17.jpg


?收集OpenVPN相关配置信息。


18.jpg


?收集Filezilla服务器配置信息。


19.jpg



?收集thunderbird相关信息。


20.jpg



?收集UCBrowser信息。


21.jpg


 

?收集Mozilla SeaMonkey软件配置信息。


22.jpg



?收集QQBrowser浏览器信息。


23.jpg



?收集RealVNC,TightVNC,UltraVNC远程控制软件的配置。


24.jpg

25.jpg


?收集SmartFTP配置信息。


26.jpg


?收集FlashFXP配置信息。


27.jpg


?收集Claws-mail相关信息。


28.jpg


 

?收集如下信息:


@"C:\Users\USER\AppData\Roaming\CoreFTP\sites.idx"

@"C:\Users\USER\AppData\Roaming\Comodo\IceDragon\"

{C:\Users\USER\AppData\Local\NordVPN}

@"C:\FTP Navigator\Ftplist.txt"

@"C:\Users\USER\AppData\Roaming\Moonchild Productions\Pale Moon\"

@"C:\Users\USER\AppData\Roaming\Mozilla\Firefox\"

@"C:\Users\USER\AppData\Roaming\Flock\Browser\"

@"C:\Users\USER\AppData\Local\Mailbird\Store\Store.db"

@"C:\Users\USER\AppData\Roaming\8pecxstudios\Cyberfox\"

@"C:\Users\USER\AppData\Roaming\Postbox\"

@"C:\Users\USER\AppData\Roaming\Apple Computer\Preferences\keychain.plist"

@"C:\Users\USER\AppData\Roaming\eM Client\accounts.dat"


29.jpg



整合收集到的信息,通过邮件将收集到的信息发送给Hacker。


30.jpg


31.jpg


威尼斯432888cam产品解决方案


威尼斯432888cam病毒码版本16.559.60,云病毒码版本16.559.71,全球码版本16.561.00已经可以检测,请用户及时升级病毒码版本;

恶意URL已经可以被web信誉拦截;

威尼斯432888camDDAn已经可以检测该病毒。


安全建议


打开系统自动更新,并检测更新进行安装;


请到正规网站下载程序;


不要点击来源不明的邮件以及附件,邮件中包含的链接;


采用高强度的密码,避免使用弱口令密码,并定期更换密码;


尽量关闭不必要的端口及网络共享;


请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。



IOCs

32.jpg


分享到微信
X