Недавно компания 360 Total Security обнаружила разновидность хакерского трояна для пользователей рекламного бизнеса Facebok. Такие трояны распространяются через загрузчики, инструменты для взлома и т. Д. Пострадавшие пользователи в основном распространяются в России, Украине и других странах.
После заражения компьютера троянец CyberDuck украдет информацию, как пароль учетной записи бизнес-пользователя, открывшего службу ADS Facebook.
Технический анализ
Согласно выводам 360 Total Security, вирус в основном передается через загрузчик.Так как все описания файлов загрузчика — «Cyberduck», мы называем этот троян Cyberduck, атрибуты файла покпжены на следующем:
Интерфейс запуска программного обеспечения показан ниже:
После завершения загрузки программа не выйдет, а автоматически загрузит и запустит другие фоновые вирусы, которые загружают троянец с http [:] // www.rulifer.pw/x/seescenicelfx.exe и завершают выполнение. Seescenicelfx.exe расшифрует сжатый файл 7z в памяти и извлечет файл help.dll из каталога% ProgramData% \\ fb. Соответствующая кодовая логика выглядит следующим образом:
Затем загружена функция экспорта Test () help.dll:
Help.dll загрузит update.dll и загрузит функцию экспорта Test ():
Update.dll встраивает динамическую библиотеку SharpX.dll, написанную на языке .NET, поэтому она загружает среду выполнения .NET в процесс перед запуском и инициализирует функции-члены в классе SharpX.AppInstance для вызова SharpX.dll:
После получения информации о файлах cookie браузера SharpX.dll создаст новый поток для выполнения функции DoWorker (), запросит информацию о конфигурации учетной записи Facebook с сервера, подделав запрос https, а затем сопоставит возвращаемые данные с информацией, требуемой автором вируса. Запрос и украденная информация показаны в следующей таблице:
Вирус будет определять, открыла ли учетная запись Facebook службу ADS Manager и связывает ли информацию о кредитной карте, поэтому мы делаем вывод, что вирус предназначен главным образом для коммерческих пользователей, которые настраивают рекламу в Facebook, когда вирус определяет, что эти пользователи принадлежат таким бизнес-пользователям. Вызовет BHGetChromePass (), чтобы украсть пароль учетной записи Facebook, соответствующая логика кода выглядит следующим образом:
Наконец, вирус отправляет собранную информацию на сервер C & C после шифрования AES:
360 Total Security исправил этот тип трояна, мы рекомендуем, чтобы затронутые пользователи установили 360 Total Security для завершения восстановления вируса:
IoCs:
http[:]//www.rulifer.pw/x/seescenicelfx.exe
http[:]//www.begood.pw/f/update.txt
http[:]//www.seemorebty.com