虚假Pirate Chick VPN推送AZORult木马

研究人员分析发现有广告恶意软件安装名为Pirate Chick的VPN软件，该VPN软件会连接到远程服务器来下载和安装恶意payload——AZORult信息窃取木马。

因为广告恶意软件需要看起来尽可能合法和合理，该恶意软件要求用户同意隐私政策和知情同意，看起来跟真的网站一模一样。

下面是Pirate Chick VPN的网站，看起来和其他VPN站点一模一样，还有3个月的免费试用期。

Pirate Chick网站

恶意软件使用的是一家英国的ATX国际公司的证书进行签名，这样使可执行文件更加可信。研究人员也发现大多数签名的恶意软件都与英国公司相关联。

签名的可执行文件

研究人员分析该样本发现这是一款伪装成合法VPN软件的木马，会在后台下载和安装恶意软件payload。

隐藏的恶意payload

当执行Pirate Chick VPN的安装文件时，它会下载和安装一个payload到%Temp%文件夹并执行该payload。之前的payload是AZORult信息窃取器木马，现在的payload变成了进程监控器，作为启动另外的攻击活动的临时填充。

第一次执行时，安装文件会将一些字符串融入到进程名中，比如ImmunityDebugger, Fiddler, Wireshark, Regshot, ProcessHacker。然后检查运行进列表，如果检测到列表中的进程，就跳过恶意软件payload的安装。

进程检查的字符串

然后恶意软件会连接到https://www.piratechickvpn.com/collectStatistics.php，该网站会根据受害者的IP地址返回所在地区。如果用户来自俄罗斯、白俄罗斯、乌克兰或哈萨克斯坦，就跳过恶意payload。

检查是否来自俄语国家

然后检查用户是否在Vmware, VirtualBox, HyperV下运行，如果是就跳过恶意payload。

如果用户通过了以上检查，就从https://www.piratechickvpn.com/wohsm.txt下载文件，对内容执行特征替换，然后base64解码字符串。

这会将下载的文件转成一个工作的可执行文件，工作的可执行文件保存为%Temp%\wohsm.exe，然后执行。可执行文件现在是Sysinternals Process Monitor进程监控工具，之前是AZORult木马。

在下载的文件中替换字符并执行

最后，Pirate Chick VPN的主安装文件如下图所示：

Pirate Chick安装界面

VPN成功安装后，用户会看到如下界面要求用户登陆。

Pirate Chick VPN Signup

Signup屏幕无法正常显示，但这表明了木马如何伪装成VPN程序，并安装恶意payload。

通过广告恶意软件传播

根据Any.Run session的分析，研究人员发现Pirate Chick VPN通过伪造的Adobe Flash Players 和广告恶意软件进行传播。

在过去，主要安装广告恶意软件和其他用户不想要的扩展，但是现在开始安装挖矿机、勒索软件、密码窃取木马和广告点击器等。

在本案例中，安装器伪装成Flash Player下载器，伪装成Flash Player升级。

伪装成Flash Player升级

从Any.Run process graph中可以看出，piratechickvpnsetup.exe安装了vpnclientupdate.exe（实际上是AZORult）。

AZORult感染图

目前Pirate Chick VPN已经不再安装密码窃取器木马，但是会连接到站点，下载和运行混淆版的Procmon.exe。而且攻击者很容易就可以将其替换为其他想要安装的恶意软件。