伪装成ToDesk安装程序加载后门盗取数字货币

伪装成ToDesk安装程序加载后门盗取数字货币
2024-12-9 08:40:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处：

https://xz.aliyun.com/t/16552

先知社区作者：熊猫正正

近日有微信朋友发给笔者一个样本，让笔者有空可以看看，如下所示：

分析之后，发现样本还挺新的，而且有一定的对抗性，通过捆绑ToDesk安装程序加载远控后门盗取数字货币等信息，分享出来供大家学习参考。

详细分析

1.初始样本为使用Setup Factory打包的安装程序，如下所示：

2.安装完成之后，在安装目录的dev目录下生成相应的恶意文件，如下所示：

3.样本采用白+黑的方式加载恶意模块，如下所示：

4.恶意模块采用Delphi语言编写，编译时间为2024年10月30日，如下所示：

5.导出函数都被混淆了，如下所示：

6.笔者注意到有一个导出函数比较特别IsWindowServer，通过分析发现恶意代码就隐藏在该导出函数当中，如下所示：

7.读取同目录下的Prgkectiodn.u6mg文件加密数据到内存，如下所示：

8.通过异或算法解密加密的数据，如下所示：

9.解密算法，如下所示：

10.解密出来的PayLoad，如下所示：

11.解密出来的PayLoad也是使用Delphi语言编写，编译时间为2024年10月30日，如下所示：

12.调用执行该PayLoad的M78E27BDC3EF60E302EDD6DD505E10A2F22D17DD23AF703GYT导出函数，如下所示：

13.创建互斥变量GREHERTHE27BDE2361E06CCD30E00B3AFDGFDG5，如下所示：

14.设置相应的自启动注册表项，如下所示：

15.设置完成之后，如下所示：

16.获取操作系统相关信息，操作系统版本、类型、GUID、BIOS信息等，如下所示：

17.PayLoad是一个远控类的模块，通过不同的指令，执行不同的操作，一共有几十个不同的指令执行不同的操作，如下所示：

18.上面指令非常多，笔者重点关注一下数字货币钱包操作，盗取系统上的数字货币钱包，如下所示：

19.通过Chrome扩展程序ID信息等，定位操作系统中存在的数字货币钱包信息，如下所示：

20.盗取用户浏览器相关数据，如下所示：

21.盗取系统用户ETH和TRON数字货币，如下所示：

22.获取系统安全软件信息，如下所示：

23.黑客C2域名为golomee.com，如下所示：

通过威胁情报平台查询，该C2域名被标记为“黑猫”黑产组织，如下所示：

24.笔者从程序中提取出相关数字货币钱包Chrome扩展程序ID信息，如下所示：

Wallet NameExtension ID

MetaMask

nkbihfbeogaeaoehlefnkodbefgpgknn

MetaMask

ejbalbakoplchlghecdalmeeeajnimhm

TronLink

ibnejdfjmmkpcnlpebklmnkoeoihofec

Phantom

bfnaelmomeimhlpmgjnjophhpkkoljpa

Terra Station

aiifbnbfobpmeekipheeijimdpnlpgpp

Terra Station

ajkhoeiiokighlmdnlakpjfoobnjinie

Keplr

dmkamcknogkgcdfhhbddcghachkejeap

Keplr

efknohjclbjfppcmniflbmnokbihoofp

Math Wallet

afbcbjpbpfadlkmhmclhkeeodmamcflc

Math Wallet

dfeccadlilpndjjohbjdblepmjeahlmm

Binance

fhbohimaelbohpjbbldcngcnapndodjp

Binance

mkinohlchpfiljfihdblneojpbpchmad

TokenPocket

mfgccjchihfkkindfppnaooecgfneiii

Trust Wallet

egjidjbpglichdcondbcbdnbeeppgdph

Trust Wallet

glcnemilkfekippdjmhghgakcbmkejnk

OuYiWEB3 Wallet

mcohilncbfahbmgdjkbpemcciiolgcge

Coin98 Wallet

aeachknmefphepccionboohckonoeemg

Math Wallet

afbcbjpbpfadlkmhmclhkeeodmamcflc

Math Wallet

dfeccadlilpndjjohbjdblepmjeahlmm

Wombat Gaming Wallet

amkmjjmmflddogmhpjloimipbofnfjih

Pontem Aptos Wallet

phkbamefinggmakgklpkljjmgibohnba

Pontem Aptos Wallet

phkbamefinggmakgklpkljjmgibohnba

X Wallet

bofddndhbegljegmpmnlbhcejofmjgbn

Keeper Wallet

lpilbniiabackdjcionkobglmddfbcjo

Keeper Wallet

hdpempkibblfcglmkkakkpnjmbnebaki

TON Wallet

nphplpgoakhhjchkkhmiggakijnkhfnd

TON Wallet

dgegbhgbijbhkmkacomdlogdkacokpam

Leap Terra Wallet

aijcbedoijmgnlmjeegjaglmepbmpkpi

XDEFI Wallet

hmeobnfnfcmdkdcmlblgagmfpfboieaf

Maiar DeFi Wallet

dngmlblcodfobpdpecaadgfbcggfjfnm

Ronin Wallet

fnjhmkhhmkbjkkabndcnnogagogbneec

Ronin Wallet

kjmoohlgokccodicjjfebfomlbljgfhk

Oasis Wallet

ppdadbejkmjnefldpcdjhnkpbjkikoip

XCoinbase Wallet

hnfanknocfeofbddgcijnmhnfnkdnaad

bitkeep Wallet

jiidiaalihmmhddjgbnbgdfflelocpak

Argent X

dlcobpjiigpikoobohmabehhmhfoodbb

Coinhub

jgaaimajipbpdogpdglhaphldakikgef

FINX

ejehodfgjhiadihgjdkgffciiepfdeep

Plug

cfbfdhimifdmdehjmkdobpcjfefblkjm

Rabby

acmacodkjbdgmoleebolmdjonilkdbch

Sui Wallet

opcgpfmipidbgpenhmajoajpbobppdil

Temple Tezos Wallet

ookjlbkiijinhpmnjffcofjonbfbgaoc

Zecrey

ojbpcbinjmochkhelkflddfnmcceomdi

Martian Aptos Wallet

efbglgofoippbgcjepnhiblaibcnclgk

Petra Aptos Wallet

ejjladinnckdgjemekebdpeokbikhfci

Fewcha Wallet

ebfidpplhabeedpnhjnobghokpiioolj

Polygon Wallet

bjnlkgkghpnjgkonekahiadjmgjpmdak

Typhon Wallet

kfdniefadaanbjodldohaedphafoffoh

Nitrogen Wallet

ajbieehikidekihmekmbdmdconafgkie

Meteor Wallet

pcndjhkinnkaohffealmlmhaepkpmgkb

JustLiquidity Wallet

cmbagcoinhmacpcgmbiniijboejgiahi

Nami

lpfcbjknijpeeillifnkikgncikgfhdo

Wallet Crypto BTC ETH

glbgnkopdilgbjchligmlbmhkgohggoj

Carbon Wallet

pnphepacpjpklpbacfmebicbgndobakn

Saifu Solana Wallet

ejdabmcenoflojakpkgjnilnohjoobac

ZEON Wallet

gbjepgaebckfidagpfeioimheabiohmg

MWC Wallet

ahhdnimkkpkmclgcnbchlgijhmieongp

Stash Wallet

incepomdpmhakfkbifbhhmbjeofohaka

Avana Wallet

ajnodjmfajgabkmeididajpkoobeiofn

Auvitas Wallet

klbgaboailigngkiifaglicepkfckppa

Sentinel T4L3NT Wallet

bpefpmecbepflicbncadgnhdaapjgnpk

USDC Wallet

pkjmoihlmlhhkahcplhijafhcioaciih

UMI Wallet

einhphiffjfjogeofkpclobkcgennocm

Fee Chain Wallet

gbjegagconancfmeejpjilopbflhdpdk

KardiaChain Wallet

pdadjkfkgcafgbceimcpbkalnfnepbnk

UniSat Wallet

ppbibelpcjmhbdihakflkdcoccbgbkpo

OuYiWEB3 Wallet

pbpjkcldjiffchgbbndmhojiacbgflha

其他一些功能就不分析了，对其他功能感兴趣的自己下载样本去研究一下吧。

威胁情报

总结结尾

最近几年随着WEB3流行，各种区块链加密货币层出不穷，只要有利益的地方，就有黑客的存在，全球几大黑客组织很早就已经盯上了WEB3加密货币这块，开发出很多盗取WEB3加密货币的恶意软件，这些恶意软件在VT上的检出率都比较低，大家要提前做好相应的防护，不要随意安装和使用一些加密货币软件，以及访问一些WEB3相关的项目，以防自己的加密货币被盗。

安全分析与研究，专注于全球恶意软件的分析与研究，深度追踪全球黑客组织攻击活动，欢迎大家关注，获取全球最新的黑客组织攻击事件威胁情报。

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

文章来源: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247489656&idx=1&sn=b2693f2eecfd194407c52a70a20646ab&chksm=902fb750a7583e465c5ec31f000f5f3d8bf101a39b8b8704794a8cb29233ffbd4c8b3fd6b903&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh