«Файл Txt » может украсть все ваши секреты

02 Апр. 2021 г.kate
Подробнее о 360 Total Security

Недавно платформа мониторинга угроз Центра безопасности 360 обнаружила фишинговую атаку по электронной почте. В этой атаке используется троян Poulight, ворующий секреты. С прошлого года троян Poulight используется  и имеет полные и мощные функции. Эта атака доказала, что она начала распространяться и использоваться за рубежом.

Анализ процесса атаки

Злоумышленник сначала сбросит фишинговый файл, используя технологию RLO (Right-to-Left Override). При использовании технологии RLO фишинговый файл с исходным названием «ReadMe_txt.lnk.lnk» будет отображаться на компьютере пользователя как «ReadMe_knl.txt». В то же время, если злоумышленник устанавливает значок lnk-файла как значок блокнота, пользователь может легко принять его за безвредный текстовый файл, что очень сбивает с толку.

Таким образом, пользователь изначально думал открыть текстовый файл, но на самом деле выполнил код, подготовленный злоумышленником. Система выполнит команду powershell в соответствии с содержимым «цели», настроенным злоумышленником, загрузит вредоносную программу https [:] // iwillcreatemedia [.] Com / build.exe, установит ее как скрытый атрибут и запустит ее.

После анализа загруженная вредоносная программа была скомпилирована с расширением .net и внутренним именем Poullight.exe. Разработчик не перепутал код.

Анализ кода

Обнаружение операционной среды

Загруженный на локальный компьютер putty3.exe сначала проверит, является ли текущая среда виртуальной машиной или средой анализа вирусов. Если это так, он выйдет. Это действие используется для борьбы с некоторыми песочницами для анализа образцов.

После экологической проверки троянец начинает создавать потоки для выполнения своих реальных вредоносных функциональных модулей.

Сначала троянец загружает собственные ресурсы, а Base64 их декодирует и, наконец, получает содержимое конфигурации:

<prog.params>YWRtaW4=|MQ==|MA==</prog.params>

<title>UG91bGlnaHQ=</title>

<cpdata>MHwwfDEyQ051S2tLSzF4TEZvTTlQNTh6V1hrRUxNeDF5NTF6Nll8MTJDTnVLa0tLMXhMRm9NOVA1OHpXWGtFTE14MXk1MXo2WXww</cpdata>

<ulfile>aHR0cDovL3J1LXVpZC01MDczNTI5MjAucHAucnUvZXhhbXBsZS5leGU=</ulfile>

<mutex>PL2d4vFEgVbQddddkms0ZhQiI0I</mutex>

Значение <mutex> преобразуется в нижний регистр, и «pl2d4vfegvbqddddkms0zhqii0i» создается как имя файла в каталоге% TEMP%, а записываемое содержимое представляет собой случайное значение от 8 до 32 байтов.

Однако аналитики обнаружили, что в этой части кода возникла проблема или полученная нами программа троянского коня все еще находится на стадии предварительного тестирования, что не позволяет ей нормально работать.

Кража данных

Помимо обнаружения операционной среды, троянец также записывает имена пользователей, имена компьютеров, имена систем и другую информацию о машинах, включая установленные антивирусные продукты, метки видеокарт и метки процессоров.

Запишены все вышеперечисленные данные в файл% LocalAppData% \\ <8-байтовые случайные символы> \\ PC-Information.txt. В декомпилированных кодах видно, что в программе используется много русских описаний.

После этого троянец получает список активных процессов в данный момент и записывает его в файл% LocalAppData% \\ 1z9sq09u \\ ProcessList.txt, который также ставит отметку «(Injected)» после имени троянского процесса. Затем троянец получит третий элемент в значении элемента <prog.params> в ранее упомянутом файле конфигурации для декодирования и снова выполнит декодирование Base64. Если значение равно «1», он выполнит функцию clipper.Start (). Эта функция расшифровывает ресурс с именем «cpp»,  подключает строку:

<clbase>0|0|12CNuKkKK1xLFoM9P58zWXkELMx1y51z6Y|12CNuKkKK1xLFoM9P58zWXkELMx1y51z6Y|0</clbase>

Он запишит файл %TEMP% \ Windows Defender.exe и запустит его (файл не существует в тестовой среде). Среди них значение в <clbase> снова декодируется Base64 из значения <cpdata>, декодированного в предыдущем разделе.

Ниже приведены данные, украденные Поулайтом и его действие:

  •  Скриншот рабочего стола;
  •  Если имя документов в следующих папках содержит такие строки, как password, login, account, аккаунт, парол, вход, важно, сайта, site, или суффикс .txt, .rtf, .log,. doc, .docx, .rdp, .sql, то все скопированы в каталог «\\ Stealer Files \\ Disks Files \\»:
  •   Каталог рабочего стола, документы,% AppData%,% LocalAppData%;
  •  Кроме \ Windows \, ​​\ programdata \, \ program files (x86) \, \ program files \, \ users \, \ perflogs \, \ users \ в корневом каталоге диска;
  •  Веб-камера для фотосъемки;
  •  Учетные данные для входа на сервер FileZilla: FileZilla \ latestservers.xml;
  •  Конфигурация входа в Pidgin: .purple \ accounts.xml;
  •  Резервное копирование хранилища данных Discord: Discord \ Local Storage;
  • Файлы для хранения данных Telegram:
    • Telegram Desktop\tdata\D877F783D5D3EF8C1
    • Telegram Desktop\tdata\D877F783D5D3EF8C0
    • Telegram Desktop\tdata\D877F783D5D3EF8C\\map1
    • Telegram Desktop\tdata\D877F783D5D3EF8C\\map0
  •  Данные Skype : Microsoft \ Skype для рабочего стола \ Local Storage ;
  •  Кража файлов авторизации Steam ssfn ;
  •  Кража различных документов, связанных с кошельком криптовалюты, в том числе:
  •  Файл данных ключа BTC-BitCoin wallet.dat, включая пару ключей адреса кошелька, транзакцию кошелька и другую информацию ;
  •  Файл ключа кошелька BTC-Bytecoin, поиск с суффиксом .wallet ;
  •  Файл кошелька BTC-Dash wallet.dat ;
  •  Все файлы в каталоге хранилища ключей кошелька BTC-Ethereum, файлы, связанные с ключами, в Ethereum \\ хранилище ключей
  •  Документы, связанные с кошельком BTC-Monero ;
  •  Украсть файлы cookie, получить доступ к URL-адресам, учетным записям, паролям, данным автозаполнения, информации о платежных картах и т. Д. Из 25 браузеров; поиск по имени файла выполняется с помощью подстановочной строки: «co * es», «log * ta», «we * ata» , «loc * ate» область поиска — это три уровня каталогов, начиная с каталога браузера:

google

yandex

opera software

amigo

orbitum

kometa

maxthon

torch

epic browser

comodo

ucozmedia

centbrowser

go!

sputnik

titan browser

acwebbrowser

vivaldi

flock

srware iron

sleipnir

rockmelt

baidu spark

coolnovo

blackhawk

maplestudio

Все украденные данные хранятся в каталоге% LocalAppData% \\\ 1z9sq09u \\ (строка «1z9sq09u» генерируется случайным образом).

После этого троянец загрузит украденные данные на один из двух удаленных C&C серверов:

http [:] // poullight [.] ru / handle.php (не используется)

http [:] // gfl.com [.] pk / Panel / gate.php.

После того, как данные закодированы, они по порядку загружаются на сервер. После того, как удаленный конец вернет строку «хорошо», будет выполнен следующий код. В противном случае попытка загрузки будет выполняться каждые 2 секунды, пока она не будет успешной.

После завершения вышеуказанного действия троянец загрузит URL-ресурс hxxp: //ru-uid-507352920.pp.ru/example.exe и сохранит его как «% LocalAppData% \\ <8 байтов случайных символов 1> \\ <8 байт Случайные символы 2> .exe «, например:% LocalAppData% \\ en0mp4o4 \ 8ej8q80s.exe.

Основная функция программы — это также сбор различной информации о машине, но папка, в которой она находится, удаляется после выполнения сбора. Предполагается, что он все еще находится на стадии тестирования.

360 Total Security уже поддерживает обнаружение и уничтожение данного вируса. Зараженному Пользователю рекомендуется установить его с официального сайта:

IOCs

Hash

dcb4dfc4c91e5af6d6465529fefef26f

083119acb60804c6150d895d133c445a

b874da17a923cf367ebb608b129579e1

C2

hxxp://gfl.com.pk/Panel/gate.php

hxxp://poullight.ru/handle.php(Unused)

URL

hxxps://iwillcreatemedia.com/build.exe

hxxp://ru-uid-507352920.pp.ru/example.exe

Подробнее о 360 Total Security