虚假Pirate Chick VPN推送AZORult木马

ang010ela Web安全 2019年5月13日发布
Favorite收藏

导语:​研究人员发现有攻击者伪造Pirate Chick VPN,以推送AZORult信息窃取木马。

研究人员分析发现有广告恶意软件安装名为Pirate Chick的VPN软件,该VPN软件会连接到远程服务器来下载和安装恶意payload——AZORult信息窃取木马。

因为广告恶意软件需要看起来尽可能合法和合理,该恶意软件要求用户同意隐私政策和知情同意,看起来跟真的网站一模一样。

下面是Pirate Chick VPN的网站,看起来和其他VPN站点一模一样,还有3个月的免费试用期。

Pirate Chick Website

Pirate Chick网站

恶意软件使用的是一家英国的ATX国际公司的证书进行签名,这样使可执行文件更加可信。研究人员也发现大多数签名的恶意软件都与英国公司相关联。

Signed Executable

签名的可执行文件

研究人员分析该样本发现这是一款伪装成合法VPN软件的木马,会在后台下载和安装恶意软件payload。

隐藏的恶意payload

当执行Pirate Chick VPN的安装文件时,它会下载和安装一个payload到%Temp%文件夹并执行该payload。之前的payload是AZORult信息窃取器木马,现在的payload变成了进程监控器,作为启动另外的攻击活动的临时填充。

第一次执行时,安装文件会将一些字符串融入到进程名中,比如ImmunityDebugger, Fiddler, Wireshark, Regshot, ProcessHacker。然后检查运行进列表,如果检测到列表中的进程,就跳过恶意软件payload的安装。

Process Checking Strings进程检查的字符串

然后恶意软件会连接到https://www.piratechickvpn.com/collectStatistics.php,该网站会根据受害者的IP地址返回所在地区。如果用户来自俄罗斯、白俄罗斯、乌克兰或哈萨克斯坦,就跳过恶意payload。

Check if you are from Russian speaking countries

检查是否来自俄语国家

然后检查用户是否在Vmware, VirtualBox, HyperV下运行,如果是就跳过恶意payload。

如果用户通过了以上检查,就从https://www.piratechickvpn.com/wohsm.txt下载文件,对内容执行特征替换,然后base64解码字符串。

这会将下载的文件转成一个工作的可执行文件,工作的可执行文件保存为%Temp%\wohsm.exe,然后执行。可执行文件现在是Sysinternals Process Monitor进程监控工具,之前是AZORult木马。

Replace characters in downloaded file

在下载的文件中替换字符并执行

最后,Pirate Chick VPN的主安装文件如下图所示:

Pirate Chick InstallPirate Chick安装界面

VPN成功安装后,用户会看到如下界面要求用户登陆。

Pirate Chick VPN Signup

Pirate Chick VPN Signup

Signup屏幕无法正常显示,但这表明了木马如何伪装成VPN程序,并安装恶意payload。

通过广告恶意软件传播

根据Any.Run session的分析,研究人员发现Pirate Chick VPN通过伪造的Adobe Flash Players 和广告恶意软件进行传播。

在过去,主要安装广告恶意软件和其他用户不想要的扩展,但是现在开始安装挖矿机、勒索软件、密码窃取木马和广告点击器等。

在本案例中,安装器伪装成Flash Player下载器,伪装成Flash Player升级。

Fake Flash Player Upgrade

伪装成Flash Player升级

从Any.Run process graph中可以看出,piratechickvpnsetup.exe安装了vpnclientupdate.exe(实际上是AZORult)。

Any.Run Graph showing AZORult infection

AZORult感染图

目前Pirate Chick VPN已经不再安装密码窃取器木马,但是会连接到站点,下载和运行混淆版的Procmon.exe。而且攻击者很容易就可以将其替换为其他想要安装的恶意软件。

本文翻译自:https://www.bleepingcomputer.com/news/security/fake-pirate-chick-vpn-pushed-azorult-info-stealing-trojan/如若转载,请注明原文地址: https://www.4hou.com/web/17977.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论