感谢腾讯御见威胁情报中心来稿!
原文:https://s.tencent.com/research/report/846.html
腾讯安全御见威胁情报中心检测到以窃取机密为目的的大量钓鱼邮件攻击,主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱,然后批量发送伪装成“采购订单”的钓鱼邮件,邮件附件为带毒压缩文件。若企业用户误解压执行附件,会导致多个“窃密寄生虫”(Parasite Stealer)木马被下载安装,之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。
御见威胁情报中心根据一个窃密木马PDB信息中包含的字符“Parasite Stealer”(窃密寄生虫),将其命名为Parasite Stealer(窃密寄生虫)。
根据腾讯安全御见威胁情报中心的监测数据,受Parasite Stealer(窃密寄生虫)木马影响的地区分布特征明显,主要集中在东南沿海地区,其中又以广东、北京和上海最为严重。这些地区也是我国外贸企业和互联网企业相对密集的省市。
此次攻击影响约千家企业,从行业分布来看,Parasite Stealer(窃密寄生虫)病毒影响最多的是贸易服务、制造业和互联网行业。
“窃密寄生虫”(Parasite Stealer)木马的主要作案流程为:通过邮件群发带毒附件,附件解压后是伪装成文档的Jscript恶意脚本代码,一旦点击该文件,脚本便会拷贝自身到启动项目录,然后通过写二进制释放木马StealerFile.exe。StealerFile.exe进一步从服务器下载名为“q”,”w”,”e”,”r”,”t”的多个木马盗窃中毒电脑机密信息,并将获取到的信息通过FTP协议上传到远程服务器。
钓鱼邮件 钓鱼邮件内容如下,附带的邮件附件名为K378-19-SIC-RY – ATHENA REF. AE19-295.gz。
附件 附件解压后为Jscript脚本文件K378-19-SIC-RY – ATHENA REF. AE19-295.js,该文件执行后会立即拷贝自身到全局启动目录下。
Jscript脚本进一步通过写二进制释放木马文件StealerFile.exe,StealerFile.exe会使用Word.exe程序的图标来进行伪装。
随后StealerFile.exe从服务器依次下载q.exe,w.exe,e.exe运行,若判断系统为64位还会下载r.exe,t.exe运行。
q.exe q.exe(64位对应t.exe)为密码窃取程序。chrome浏览器加密后的密钥存储于%APPDATA%\..\Local \Google\Chrome\User Data\Default\Login Data下的一个SQLite数据库中,使用CryptProtectData加密。首次登陆某个网站时,Chrome会询问是否记住密码,若选择是则浏览器将密码保持到SQLite数据库中。 木马从数据库中抽取出action_url,username_value 和password_value,然后调用Windows API中的CryptUnprotectData函数来破解密码。
64位版本t.exe 64位版本t.exe文件PDB为
E:\Work\HF\KleptoParasite Stealer 2018\Version 6\3 – 64 bit firefox n chrome\x64\Release\Win32Project1.pdb
Firefox登录密码加密时使用的Signons.sqlite和key3.db文件均位于%APPDATA%\Mozilla \Firefox\Profiles\[random_profile]目录下的sqlite数据库中。木马使用NSS的开源库中的函数来破解加密所使用的SDR密钥,进而破译Base64编码的数据。
w.exe和e.exe w.exe目前无法下载,e.exe的功能为获取当前计算机所使用的外网IP地址,并将其添加到待上传文件DXWRK.html中。
r.exe r.exe为邮箱密码窃取程序。通过读取 “Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook\\9375CFF0413111d3B88A00104B2A6676″等位置的注册表来获取Outlook保存的密码信息。
待下载的各个模块完成密码搜集工作后,StealerFile.exe尝试连接到指定的FTP服务器,准备上传机密信息文件,代码中保存有5组地址和登录所需账号密码可供登录使用。
(为防止受害者信息泄露,做打码处理)
FTP服务器地址:
“ftp.secures******.com”
“ftp.driv******..com”
“45.137.***.95”
“ftp.an******.com”
“fine.tec******”
登录用户名:
“admi*****”
“insan*****on.com”
“lenfi**********net.com”
“a$%2*****23”
“8347**********1”
登录密码:
“ad******”
“%*h#$j#******”
“W@T9$$******”
“1pass4ll@let******”
连接服务器成功后,通过调用FtpPutFileA函数将存有账号密码等机密信息的本地文件\%Temp%\DXWRK.html上传为服务器指定文件<random>_.htm。
我们利用木马中的账号密码登录到其中一个FTP服务器,可以看到其保存的文件列表如下。
下载某个服务器上的.htm文件,其内容为用户使用Firefox,Chrome浏览器登录某些网站时使用的用户名和密码等信息。
伪造的发件邮箱:
ayp@hct-battery.com
sales5@amotach-cn.com
admin@ticctv.com
marketing@med-linket.com
wy-sh@szzhenji ***
g-factory@paiying.com.tw
fm@saspg.com
hoteamsoft@hoteamsoft.com
zhong.fei.ran@tateyam *** .cn
info@space-icecream.com
chu.yi.ye@tateyam *** .cn
su.jia.min@tateyam *** .cn
cnsy@quartzglasschin ***
admin@tingyimould.com
overseas_sales@waxpi.com
zhong.fei.ran@tateyam *** .cn
info@tongyongfans.com
liuxiong@xinteenergy.com
chu.yi.ye@tateyam *** .cn
g-factory@paiying.com.tw
wangjc96@tsinghua.org.cn
zhong.fei.ran@tateyam *** .cn
pzg@teccable.com
zsh@tgc.edu.cn
liucong@mail.cmec.com
baiyang@baiyangcy.com
xiongyi@yanshun-sh.com
su.jia.min@tateyam *** .cn
guokai@ruiduo.net.cn
wy-sh@szzhenji ***
olive@ykxfw ***
MD5
b213bf2fb08b6f9294e343054c8231f4(K378-19-SIC-RY – ATHENA REF. AE19-295.gz)
67eabc565db23cf5a965309eaa62228d(K378-19-SIC-RY – ATHENA REF. AE19-295.js)
a5fe827cf2bc87008588f633a5607755(StealerFile.exe)
15a02f0d086df6a9082667635d524e92(q.exe)
499de77bc4d8d91a62e824ce40b306bd(e.exe)
16690c337d1d78ac18f26926c0e0df7b(r.exe)
1cd8b31b1aef17f1901db887b7de6f2d(t.exe)
URL
http[:]//drajacoffee.com/images/produk/t
http[:]//drajacoffee.com/images/produk/q
http[:]//drajacoffee.com/images/produk/e
http[:]//drajacoffee.com/images/produk/r
http[:]//drajacoffee.com/images/produk/w
ftp[:]//ftp.sec*****g.com
ftp[:]//ftp.dr*****.com
ftp[:]//45.137.***.***
ftp[:]//ftp.a*****.com
据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,...
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
Hackernews 编译,转载请注明出处: 在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。 然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 So...
据报道,日前,微软、英伟达等科技公司遭到一系列黑客攻击,而网络安全人员在调查中,把目标锁定在了英国英格兰牛津一位16岁少年。四名网络安全专家目前正代表微软等被攻击公司展开调查,对名为“Lapsus$”的黑客组织进行调查,专家们判断,上述16岁少年是这个黑客组织的主谋。 这个黑客组织过去进行了多次高调...
微软周六晚间警告说,它在乌克兰的几十个政府和私人计算机网络中检测到一种极具破坏性的恶意软件,似乎在等待着一种未知行为的触发。该公司在一篇博文中说,周四,大约在乌克兰政府机构发现其网站被破坏的同一时间,监视微软全球网络的调查人员发现了该代码。微软说:”这些系统横跨多个政府、非营利组织和信息技术组织,都...
一个流传了6个月的骗局已经发展到影响iOS用户。黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划,从毫无戒心的受害者那里盗取了至少140万美元。 名为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄安装一个修改版的加密货币交易所...