PrivateLoader：许多恶意软件攻击开始的第一步

在相当长的一段时间里，“按安装奖励”(pay-per-install)模式运行的恶意软件服务已经成为网络犯罪生态系统中固定的运行模式。恶意软件运营商提供支付、恶意负载和目标信息，而负责运行服务的运营商将传播和传播外包。可访问性和适中的成本使恶意软件运营商可以利用这些服务作为快速、批量和针对地理目标的恶意软件感染的另一种武程序。

通过了解这些服务的传播方式，防御者可以更好地识别这些活动并阻止它们对其组织的 IT 堆栈造成严重破坏。本文重点介绍使用 C++ 编程语言编写的 PrivateLoader 模块化下载程序，该下载程序连接到未识别的 PPI 服务。 PrivateLoader 位于此操作的前端，并与其后端基础设施进行通信，以检索恶意负载的 URL，以“安装”在受感染的设备上。就像与PPI服务绑定的下载程序一样，PrivateLoader会传播各种统计信息，比如哪些负载被下载并成功启动。

传播活动通常依赖于搜索引擎优化 (SEO) 增强型网站网络，吸引毫无防备的搜索盗版软件的受害者下载并执行恶意软件。受密码保护的压缩文件通常包含一个安装文件，该文件在受感染的设备上嵌入并执行多个恶意负载，例如 GCleaner、PrivateLoader、Raccoon、Redline、Smokeloader 和 Vidar 恶意软件。我们估计，这些活动至少从 2021 年 5 月开始包含 PrivateLoader。

本文介绍了其背后的 PPI 服务以及运营商用于获取“安装”的方法，并提供了有关该服务提供的恶意软件家族的详细信息。

PrivateLoader 的工作原理

此 PrivateLoader PPI 活动背后的服务及其运营商目前未知，因为在撰写本报告时无法将下载程序连接到特定的黑市 PPI 服务。但是，我们观察到 PrivateLoader 的主要命令和控制 (C2) 服务程序还托管了基于 AdminLTE 3 仪表板模板的管理面板。认证页面如下所示：

PrivateLoader验证页面

使用 Javascript 库 app.js 的前端脚本似乎公开了提供给面板用户的功能。下表描述了脚本中有趣的 JavaScript 函数：

PrivateLoader 下载程序

PrivateLoader 是通过一个声称提供“破解”软件的网站网络传播的，这些软件是人们常用的流行合法应用程序的修改版本。这些网站经过 SEO 优化，通常出现在搜索查询的顶部，其中包含“crack”或“crack download”等关键字，前面是软件名称。

例如，搜索“Malwarebytes crack”会返回以下网站作为第四个和第五个结果：

“Malwarebytes crack”搜索结果

访问者被诱使点击“下载破解”或“立即下载”按钮，以获得据称已破解的软件版本。下载按钮的JavaScript是从远程服务器检索的。

一个据称可以下载破解版本的软件的选项

经过几次重定向后，最终的有效负载将作为受密码保护的压缩 (.zip)文件提供给用户，下面的截图显示了实际的下载页面：

下载页面

在我们的示例中，提供的压缩文件名为“PASSWORD_IS_324325____Malwarebytes-Pr.zip”。它包含一个名为“setup_x86_x64_install.exe”的 Nullsoft Scriptable Install System (NSIS) 安装程序，该安装程序嵌入并执行大量恶意负载，例如 GCleaner、PrivateLoader 和 Redline。

SophosLabs 的研究人员此前曾调查过这个传播网络，并将其部分基础设施与 InstallUSD PPI 服务联系起来。

恶意软件下载

2021年9月初，PrivateLoader开始自动覆盖和跟踪恶意软件。此后，我们收集了大量的数据，帮助我们更多地了解这项服务。

下图显示了 PrivateLoader 为我们的恶意软件智能系统检测到的每个恶意软件家族下载的唯一哈希的数量。最受欢迎的PPI服务为Smokeloader、Redline和Vidar：

此图表显示了 PrivateLoader 为我们的恶意软件智能系统检测到的每个恶意软件家族下载的唯一哈希数

每个 PrivateLoader 示例都嵌入了一个区域代码，该代码与木马的 C2 服务程序和国家/地区通信。下图描述了在覆盖期间每个区域代码下载的唯一哈希数。我们认为这些地区代码中的“WW”前缀代表“worldwide（全球）”，因为它最常见于样本中。我们怀疑这段代码表示上表中描述的“link_geo”参数。

每个区域代码下载的唯一哈希数

然而，当通过木马程序对应的国家代码查询唯一哈希数时，可以发现有多个国家被攻击。

每个国家代码下载对应唯一一个哈希数

Smokeloader

SmokeLoader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年，虽然近年来已经被多次曝光，但一直在持续升级，非常活跃。

在我们看到的 PrivateLoader 推送的有效载荷中，最常见的是 Smokeloader。下图显示了从我们的恶意软件智能系统检测到的所有唯一 Smokeloader 样本中提取的附属机构ID：

从我们的恶意软件智能系统检测到的所有唯一 Smokeloader 样本中提取的附属 ID 的百分比

用于传播 Smokeloader 的前 10 个检测到的域：

很明显，运行“隐私工具”域的运营商严重依赖 PrivateLoader 来传播 Smokeloader。通过对 URL 的追踪调查显示，这些域托管了一个声称提供“隐私工具”的网站。该网站可能正在欺骗真正的 PrivacyTools[.]io 网站，该网站由倡导数据隐私的志愿者运营。

一个“隐私工具”域的登录页面

这些网站托管Smokeloader的有效负载，作为三个类别的一部分，分别名为“pab1”、“pab2”和“pab3”。这些不一定与类似的“pub*”附属 ID 相关联，因为我们已经看到一些带有“555”附属 ID 的“pab2”有效负载。在跟踪 PrivateLoader 时，我们只收到了从这些网站下载“pab2”有效负载的链接。这些运营商很可能使用其他方法或 PPI 服务来传播 Smokeloader 家族。

2021 年 10 月 22 日，PrivateLoader 从其中一个网站下载的“pab2”Smokeloader 样本传播了 Qbot 银行木马。这是 Qbot 一种不寻常的传播方法，并揭示了新的僵尸网络 ID star01。

银行木马

经调查，还有其他攻击者利用 PrivateLoader 进行银行木马传播。

2021 年 10 月 31 日，与欧洲国家有关联的 PrivateLoader 恶意软件被指示从以下 URL 下载并执行 Kronos 银行木马，Kronos银行木马最初于2014年被发现，并迅速成为一个成熟的恶意软件，能够窃取凭证并通过网络注入到银行网站。：

hxxp://2.56.59[.]42/EU/Yandex1500[.]exe

下载的样本还执行了 Vidar 信息窃取程序。此示例的下载和执行命令在第二天停止。

2021 年 11 月 1 日，PrivateLoader 恶意软件下载了与 10444 个僵尸网络相关的 Dridex 样本，以及关联标识符为 40 的 Danabot。同一天，恶意软件还下载了具有组标签 (gtags) lip*、tot* 和 top* 的 Trickbot 样本。在所有已发现的案例中，传播的样本都嵌入了其他恶意软件家族，例如其他银行木马、信息窃取程序或勒索软件。

从以下 URL 下载了嵌入 Dridex 和 Smokeloader 的哈希值为 929a591331bdc1972357059d451a651d575166f676ea51daaeb358aa2a1064b7 的样本：

hxxp://privacytoolzfor-you6000[.]top/downloads/toolspab2.exe

如上所述，我们会将“隐私工具”网站与 Smokeloader 运营商相关联。目前尚不清楚这些网站背后的运营商是在运营 Dridex 10444 僵尸网络，还是仅充当传播链中的一个环节。但是，我们可以假设“隐私工具”网站被用于传播，因为在此期间在不同的哈希和传播 URL 中看到了相同的 Dridex 僵尸网络标识符和控制程序。

Danabot、Dridex、Kronos 和 Trickbot经常会被同时下载，而且，这些木马经常被捆绑在一起。因此，我们分析可能运营这些特定僵尸网络的单个实体当时正在使用 PrivateLoader PPI 服务。

2021 年 11 月 14 日，PrivateLoader 恶意软件开始在一天内下载ID为4的Danabot银行木马样本。

基于这些持续不超过一天的短暂爆发，我们怀疑银行木马运营商正在试验这种 PPI 服务作为其恶意软件的另一种传播机制。

勒索软件

黑市 PPI 服务通常建议不要在目标设备程序上部署勒索软件，因为这会使它们无法使用。我们唯一一次检测到 PrivateLoader 下载的勒索软件样本是在 2021 年 11 月上旬它释放银行木马时。

在分析 PrivateLoader 下载的有效负载时，我们发现了一个我们称为 Discoloader 的新加载程序。 Discoloader 是使用 .NET 框架编写的，并使用 Discord 内容传播网络 (CDN) 来托管其有效负载。尽管不是直接来自 PrivateLoader，但我们观察到该家族的样本将 Conti 勒索软件直接传播到受感染的设备中，这是一种非典型的传播机制，因为该家族通常仅在企业网络完全受到威胁后才部署。