欢迎光临31℃,本博分享:
开源项目/软件/主机/灵修/美文

软件破解补丁隐藏窃密木马,毒害全球数百万网民

一、背景

腾讯安全威胁情报中检测到大量用户感染CracxStealer窃密木马,追踪病毒来源发现源于境外某个软件破解补丁下载站(cracx[.]com)。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马,木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息,腾讯电脑管家及腾讯T-Sec终端安全管理系统均可查杀该病毒。

根据CracxStealer窃密木马运营者的页面统计数据,该网站单个破解补丁下载次数超过8万次,而该网站提供的常用软件(包括许多大型商业软件)破解补丁有数百种之多,全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截:

CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码,搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息,以及获取电脑IP定位、操作系统版本、硬件和软件信息,桌面截屏,然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com,腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”。

二、样本分析

我们选择该站提供的一个大型商业软件破解补丁为例进行分析:

CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具,在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示,付费使用版本每年费用为399美元,约2600元/年。

网民一般会先从官网下载一个试用版安装,然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack—License-Key-{Latest}-1594192147.zip,下载页面显示该程序已有超过8万次的下载。

该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证,套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后,会依次经过以下URL跳转,并最终通过https[:]//filedl7.ga下载文件。

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ (路径随机生成)

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ (路径随机生成)

下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack—License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5,解压后包含以下文件。

使用([email protected]$$ izz) 44556677.txt中提示的密码44556677对setup_installer.zip进行解压,可以得到NSIS打包的安装包程序setup_installer.exe。

setup_installer.exe是病毒母体,首先通过插件UserInfo.dll获取当前进程用户账户,如果不是Admin,则利用UAC.dll提升到管理员权限。

然后释放窃密木马11.exe、rokger.exe到”$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动,还会执行脚本11.vbs,在其中通过Get请求短链接https[:]//iplogger.org/1yzUq7,短链接在不同的样本中会有所不同,由于目前访问都返回失败,所以暂不清楚此网络请求的目的。

窃密木马部分代码添加了VMP壳进行保护。

窃密木马从浏览器配置文件、数据库文件、Cookie中获取登陆账号密码,支持国内外多款浏览器包括Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。

搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。

查询本机IP、IP所属位置、运营商属性等信息保存至随机名txt文件,以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt。

拍摄屏幕截图并保存为screenshot.jpg。

将搜集到的所有信息打包为随机名zip压缩包文件,存放至ProgramData目录下。

最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php

IOCs

Domain

mdpoter03.top

urep03.top

saytt03.top

URL

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/

https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/

https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/

http[:]//mdpoter03.top/index.php

http[:]//urep03.top/index.php

http[:]//saytt03.top/index.php

https[:]//iplogger.org/1yzUq7

md5

Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38

RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip

7ed9a320c44d119e3d596efa218deab8

ProShow-Producer-9.0.3797-License-Key—Patch-{2020}-Free-Download-1594193035.zip

b366c329bcf624214bdfc23d7bedcb78

CorelDRAW-Graphics-Suite-2017-Crack—License-Key-{Latest}-1594192147.zip

0083d7942c28e7a252dea391607917a5

installer_setup.exe 45ec40f05b5df3e21b6aad950da23bb1
installer_setup.exe c5e4d08164364790eca5b3e8cf64ff79
installer_setup.exe ada1ffc753347613cee9bcddac9763a1
installer_setup.exe 29bd44a4ed92568ddf67327ece8ace17
9.exe d7997aeb03bfa17ae03e6ee85a5afadd
9.exe e4c1146393fe67ccbb4789eba8db6b31
09.exe 18f235a24f4a7cfd2d0a5db61aac5921
caram.exe ad8f303e25c56bc0b2c9a36c0ee37a3e
011.exe b01ea80301d452d6b1337fce7cae4a40
11.exe 59cab6695a858e586be0dc0c3c781f6c
rokger.exe a73ba165224417ec58fa88158dad6026
010.exe c3e3127dd3185af88d40aa019c196694
10.exe 3bdef68d720360f362cdeec0463c282a
mertol.exe 8d5135bde449bc826b415043a03ebcce
11.vbs 2ecc0c2e30c22359b0f3e20df9b3af65
10.vbs 6ee3b4ca9f4e22a0d2b5bfbb20b1b322
9.vbs 732d3599f7f4aac60f9d08e487e62bf5

本文作者:腾讯电脑管家, 转载请注明来自FreeBuf.COM

赞(0)
未经允许不得转载:三十一度 » 软件破解补丁隐藏窃密木马,毒害全球数百万网民

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址