不久前,我们发现了许多假冒应用程序,它们向用户计算机提供了Monero加密货币矿工。它们通过可能会出现在受害者搜索结果中的恶意网站进行分发。从表面上看,它似乎是与Avast相关的恶意活动的延续。那时,网络犯罪分子以Malwarebytes防病毒安装程序的名义散布了恶意软件。
在最新的广告系列中,我们看到了由恶意软件冒充的多个应用程序:广告拦截器AdShield和Netshield以及OpenDNS服务。本文仅分析伪造的AdShield应用,但所有其他情况都遵循相同的场景。
技术细节
该恶意软件以adshield [。] pro的名称分发,可以模拟Windows版本的AdShield移动广告拦截器。用户启动程序后,它将更改设备上的DNS设置,以便通过攻击者的服务器解析所有域,从而阻止用户访问某些防病毒站点,例如Malwarebytes.com。
替换DNS服务器后,恶意软件将通过运行带有参数self-upgrade(“ C:\ Program Files(x86)\ AdShield \ updater.exe” -self-upgrade)的update.exe来开始自我更新。Updater.exe与C&C联系,并发送有关受感染计算机的数据以及有关安装的信息。可执行文件中的某些行(包括带有C&C服务器地址的行)已加密,从而使静态检测更加困难。
包含加密地址的Updater.exe代码段
Updater.exe从站点Transmissionbt [。] org下载并运行Transmission torrent客户端的修改版本(原始发行版本可以在Transmissionbt.com上找到)。修改后的程序将安装信息以及被感染计算机的ID发送到C&C,并从中下载挖掘模块。
通知C&C安装成功
挖掘模块由合法的辅助库,一个名为data.pak的加密矿工文件,可执行文件flock.exe和“ license”文件lic.data组成。后者包含模块所要使用的机器的某些参数以及data.pak文件中的数据的SHA-256十六进制哈希。修改后的传输客户端运行flock.exe,该程序首先计算受感染计算机的参数的哈希值和data.pak文件中的数据,然后将其与lic.data文件中的哈希值进行比较。这是必需的,因为C&C为每台机器生成唯一的文件集,以阻止静态检测并阻止矿工在各种虚拟环境中运行和分析。
如果哈希值不匹配,则执行将停止。否则,flock.exe使用AES-128-CTR算法从data.pak文件中解密数据,从而从存储在示例代码中的几部分中组合解密密钥和初始化向量。解密会生成一个Qt二进制资源文件,该文件包含两个可执行文件:开源XMRig矿工(夏季攻击中使用的同一个矿工)和bxsdk64.dll库。
解密的data.pak文件
bxsdk64.dll文件是BoxedApp SDK的一部分,用于创建虚拟环境,但在这种情况下,它用于以合法应用程序find.exe为幌子运行矿机。关键是要实现其功能,bxsdk会拦截对系统函数的调用并可以操纵其执行。在这种情况下,BoxedAppSDK_CreateVirtualFileA函数在C:\ ProgramData \ Flock目录中创建find.exe文件(它是C:\ Windows \ System32 \ find.exe文件的副本)。使用find.exe进行的所有其他操作均在RAM中进行,并且不会影响磁盘上的文件。当find.exe进程启动时,bxsdk截获该事件并从C:\ ProgramData \ Flock目录运行该文件。然后,使用WriteProcessMemory和CreateRemoteThread函数将解密的矿工主体注入进程内存中。
为了确保矿工的连续运行,在Windows Task Scheduler中创建了一个servicecheck_XX任务,其中XX是随机数。该任务运行flock.exe的说法最小化。
统计数据
根据卡巴斯基安全网络的数据,在撰写本文时,自2021年2月开始,已经尝试在超过7,000名用户的设备上安装伪造的应用程序。在当前战役的高峰期,每天有2500多名唯一用户受到攻击,大多数受害者位于俄罗斯和独联体国家。
2020年8月– 2021年2月受到攻击的用户数量
卡巴斯基安全解决方案通过以下判断检测到上述威胁:
· Win64.Patched.netyyk
· Win32.DNSChanger.aaox
· Win64.Miner.gen
· HEUR:Trojan.Multi.Miner.gen
如何删除矿工
如果在您的设备上检测到QtWinExtras.dll文件,请重新安装Malwarebytes。如果“ Malwarebytes”不在应用程序列表中,则需要删除磁盘上的以下所有文件夹:
· %程序文件%\ malwarebytes
· 程序文件(x86)\ malwarebytes
· %windir%\。old \ program files \ malwarebytes
· %windir%\。old \ program文件(x86)\ malwarebytes
如果在您的设备上检测到flock.exe:
· 卸载NetshieldKit,AdShield,卸载或重新安装OpenDNS(以设备上安装的任何一个为准)。
· 重新安装Transmission torrent客户端,或在不需要时将其卸载。
· 删除文件夹(如果磁盘上存在)
· C:\ ProgramData \ Flock
· %allusersprofile%\开始菜单\程序\启动\群
· %allusersprofile%\开始菜单\程序\启动\ flock2
· 在Windows Task Scheduler中删除servicecheck_XX任务(其中XX是随机数)。
IOC
DNS
142[.]4[.]214[.]15
185[.]201[.]47[.]42
176[.]31[.]103[.]74
37[.]59[.]58[.]122
185[.]192[.]111[.]210
Domains
adshield[.]pro
transmissionbt[.]org
netshieldkit[.]com
opendns[.]info
Hashes
5aa0cda743e5fbd1d0315b686e5e6024 (AdShield installer)
81BC965E07A0D6C9E3EB0124CDF97AA2 (updater.exe)
ac9e74ef5ccab1d5c2bdd9c74bb798cc (modified Transmission installer)
9E989EF2A8D4BC5BA1421143AAD59A47 (NetShield installer)
2156F6E4DF941600FE3F44D07109354E (OpenDNS installer)
本文翻译自:https://securelist.com/ad-blocker-with-miner-included/101105/如若转载,请注明原文地址