当前位置: 首页 > 科技观察

窃取恶意软件通过假冒软件下载站点传播

时间:2023-03-20 23:14:10 科技观察

攻击者将目标锁定为寻求下载盗版软件的用户。由于用户自己知道获取和使用盗版软件是非法的,因此许多下载盗版软件的用户不会下载源进行安全审查,最终可能会为这些用户支付更多费用。简介Napster在网上发布盗版已经二十多年了,海盗湾种子下载站也出现了将近十年。虽然很多国家都对此出台了相关的法律和禁令,但是盗版还是屡禁不止,很多人都会下载使用。互联网上也有很多宣传破解软件的广告,出现在谷歌的搜索结果和网站的广告位中。Google搜索结果中的假冒下载站点安全研究人员最近发现了通过假冒软件下载站点分发恶意软件的活动。正如您在上面所看到的,Google的搜索结果包括此类看起来像真正的盗版下载网站的虚假网站。案例一分析阶段一:重定向分发当用户访问假冒盗版下载网站时,会被多次重定向到最终部署恶意软件的网站。多重重定向是为了避免被搜索引擎和其他扫描程序检测到。如下图所示,这样的重定向在合法网站上可能会让受害者感到震惊,但在盗版下载网站上,受害者可能会认为这是该网站的正常工作方式。多个重定向如下所示。恶意文件部署在包含3,000多个伪装成普通破解软件的恶意ZIP存档的开放目录中。用户下载的文件通常是小于10MB的ZIP压缩文件。开放式目录分发方法也不是唯一的,攻击者还使用Mediafire和Discord等受信任的公共网站来部署恶意软件。钓鱼网站阶段二:Loader下载的压缩文件包含一个密码加密的ZIP压缩文件和一个伪装成包含密码的文本文件。压缩和密码加密的ZIP文件还包含一个名为setup.zip的文件,大小为1.3MB。压缩文件解压后会出现一个由0x20和0x00字节填充的可执行文件,大小超过600MB,如下图:样本还具有反虚拟机和反调试功能。删除无关字节后,样本大小从600MB下降到78KB,如下所示。当执行实际大小的文件时,会生成一个编码的PowerShell命令,它会被解码为(Start-Sleep-s10;Remove-Item-Path"C:\Users\User\Desktop\Setupfinal.exe"-Force).连接到远程服务器,下载名为windows.decoder.manager.form.fallout15_Uwifqzjw.jpg的文件,如下图:DownloadfileDownloadfile下载的文件看似加密,但实际上是倒序存储的。翻过来,是一个DLL文件。第3阶段:RedLineStealerDLL是一种RedLine窃取器恶意软件,可窃取受害者的私人信息,例如浏览器历史记录。案例2分析研究人员还发现,假冒盗版下载网站还散布RecordBreaker恶意软件,样本文件中使用Themida、VMprotect、MPRESS进行打包,如下图。打包文件攻击者经常使用打包来躲避检测,并在shell中集成反虚拟机和反调试技术,如下图。Anti-debuggingtechnologyAnti-debuggingtechnologyAnti-debuggingtechnology关闭安全软件的提示样本与C&C服务器通信,返回机器ID和配置ID:C&C通信通过浏览器窃取的信息包括MetaMask、TronLink、BinanceChain、Ronin,MetaMask,MetaX,XDEFI,WavesKeeper,Solflare,Rabby,CyanoWallet,Coinbase,AuroWallet,KHC,TezBox,Coin98,Temple,ICONex,Sollet,CloverWallet,PolymeshWallet,NeoLine,Keplr,TerraStation,Liquality,SaturnWallet,GuildWallet,Phantom,TronLink、Brave、MetaMask、Ronin、MEW_CX、TON、Goby和TON。收集到的被攻陷主机的相关信息回传给C&C服务器:窃取信息的恶意软件也可以将截图回传给攻击者,如下图:发送截图RecordBreaker收集用户的cookie并回传给C&C服务器,如下图:窃取浏览器cookies结论攻击者通过盗版软件渠道分发恶意软件,窃取受害者信息以牟利。用户可以通过使用从合法网站下载的正版软件来避免此类因非法活动而引起的感染。