Недавно компания 360 Total Security обнаружила разновидность хакерского трояна для пользователей рекламного бизнеса Facebok. Такие трояны распространяются через загрузчики, инструменты для взлома и т. Д. Пострадавшие пользователи в основном распространяются в России, Украине и других странах.

После заражения компьютера троянец CyberDuck украдет информацию, как пароль учетной записи бизнес-пользователя, открывшего службу ADS Facebook.

Технический анализ

Согласно выводам 360 Total Security, вирус в основном передается через загрузчик.Так как все описания файлов загрузчика — «Cyberduck», мы называем этот троян Cyberduck, атрибуты файла покпжены на следующем:

Интерфейс запуска программного обеспечения показан ниже:

После завершения загрузки программа не выйдет, а автоматически загрузит и запустит другие фоновые вирусы, которые загружают троянец с  http [:] // www.rulifer.pw/x/seescenicelfx.exe  и завершают выполнение. Seescenicelfx.exe расшифрует сжатый файл 7z в памяти и извлечет файл help.dll из каталога% ProgramData% \\ fb. Соответствующая кодовая логика выглядит следующим образом:

Затем загружена функция экспорта Test () help.dll:

Help.dll загрузит update.dll и загрузит функцию экспорта Test ():

Update.dll встраивает динамическую библиотеку SharpX.dll, написанную на языке .NET, поэтому она загружает среду выполнения .NET в процесс перед запуском и инициализирует функции-члены в классе SharpX.AppInstance для вызова SharpX.dll:

После получения информации о файлах cookie браузера SharpX.dll создаст новый поток для выполнения функции DoWorker (), запросит информацию о конфигурации учетной записи Facebook с сервера, подделав запрос https, а затем сопоставит возвращаемые данные с информацией, требуемой автором вируса. Запрос и украденная информация показаны в следующей таблице:

Вирус будет определять, открыла ли учетная запись Facebook службу ADS Manager и связывает ли информацию о кредитной карте, поэтому мы делаем вывод, что вирус предназначен главным образом для коммерческих пользователей, которые настраивают рекламу в Facebook, когда вирус определяет, что эти пользователи принадлежат таким бизнес-пользователям. Вызовет BHGetChromePass (), чтобы украсть пароль учетной записи Facebook, соответствующая логика кода выглядит следующим образом:

Наконец, вирус отправляет собранную информацию на сервер C & C после шифрования AES:

360 Total Security исправил этот тип трояна, мы рекомендуем, чтобы затронутые пользователи установили 360 Total Security для завершения восстановления вируса:

IoCs:

http[:]//www.rulifer.pw/x/seescenicelfx.exe

http[:]//www.begood.pw/f/update.txt

http[:]//www.seemorebty.com