Блог 360 Total Security

Секретный софт «CyberDuck» для пользователей рекламного бизнеса Facebok

Недавно компания 360 Total Security обнаружила разновидность хакерского трояна для пользователей рекламного бизнеса Facebok. Такие трояны распространяются через загрузчики, инструменты для взлома и т. Д. Пострадавшие пользователи в основном распространяются в России, Украине и других странах.

После заражения компьютера троянец CyberDuck украдет информацию, как пароль учетной записи бизнес-пользователя, открывшего службу ADS Facebook.

Технический анализ

Согласно выводам 360 Total Security, вирус в основном передается через загрузчик.Так как все описания файлов загрузчика — «Cyberduck», мы называем этот троян Cyberduck, атрибуты файла покпжены на следующем:

Интерфейс запуска программного обеспечения показан ниже:

После завершения загрузки программа не выйдет, а автоматически загрузит и запустит другие фоновые вирусы, которые загружают троянец с  http [:] // www.rulifer.pw/x/seescenicelfx.exe  и завершают выполнение. Seescenicelfx.exe расшифрует сжатый файл 7z в памяти и извлечет файл help.dll из каталога% ProgramData% \\ fb. Соответствующая кодовая логика выглядит следующим образом:

Затем загружена функция экспорта Test () help.dll:

Help.dll загрузит update.dll и загрузит функцию экспорта Test ():

Update.dll встраивает динамическую библиотеку SharpX.dll, написанную на языке .NET, поэтому она загружает среду выполнения .NET в процесс перед запуском и инициализирует функции-члены в классе SharpX.AppInstance для вызова SharpX.dll:

После получения информации о файлах cookie браузера SharpX.dll создаст новый поток для выполнения функции DoWorker (), запросит информацию о конфигурации учетной записи Facebook с сервера, подделав запрос https, а затем сопоставит возвращаемые данные с информацией, требуемой автором вируса. Запрос и украденная информация показаны в следующей таблице:

Вирус будет определять, открыла ли учетная запись Facebook службу ADS Manager и связывает ли информацию о кредитной карте, поэтому мы делаем вывод, что вирус предназначен главным образом для коммерческих пользователей, которые настраивают рекламу в Facebook, когда вирус определяет, что эти пользователи принадлежат таким бизнес-пользователям. Вызовет BHGetChromePass (), чтобы украсть пароль учетной записи Facebook, соответствующая логика кода выглядит следующим образом:

Наконец, вирус отправляет собранную информацию на сервер C & C после шифрования AES:

360 Total Security исправил этот тип трояна, мы рекомендуем, чтобы затронутые пользователи установили 360 Total Security для завершения восстановления вируса:

IoCs:

http[:]//www.rulifer.pw/x/seescenicelfx.exe

http[:]//www.begood.pw/f/update.txt

http[:]//www.seemorebty.com