一个在你打开色情网站时触发录屏并上传的恶意软件

释放双眼,带上耳机,听听看~!

色情网站,英文名pornsite,封面就是最好的阐释。

而近日,安全厂商ESET发布了一则分析报告指出,有一个恶意软件格外的智能,除了盗窃用户浏览器和邮箱密码外,还会有一个很奇葩的功能:

当受害者在线观看色情网站时,恶意软件会使用FFmpeg录制受害者的屏幕,并通过Tor将视频上传至攻击者的C&C服务器。

以下为具体操作。

这种名为Varenyky的恶意软件(俄语,中文翻译为饺子),于2019年5月初首次出现,并在6月通过垃圾邮件分发的恶意文档中作为Dropper进行投放。

而该恶意软件主要针对法国,因为宏代码会过滤非位处法国的目标。

代码使用函数Application.LanguageSettings.LanguageID()来获取受害者计算机的语言ID。此ID包含用户设置的国家/地区和语言。

该脚本检查返回的值是十进制的1036(或十六进制的0x40C),并且根据Microsoft文档,该值对应法语。

旧版Varenyky变种使用UPX壳,但近期变种使用自定义壳,样本解压缩过程:

首先使用32个字符长的字符串对其Payload进行异或解密,然后使用LZNT1算法对其进行解压缩,LZNT1算法是LZ77的变体。

解压后的文件不落地,直接在内存运行。

如果尚未安装恶意软件,它将在%APPDATA%中创建一个具有特定名称的目录,名称为由机器的GUID,用户名,计算机名和CPU名组成的大写哈希值,紧接着会将需要运行的库文件和Tor程序直接放入目录。

并将自身写入启动项,释放互斥锁,从创建的目录中重新启动,并使用AWS的checkip.amazonaws.com服务执行Tor并获取其外部IP地址。

它将启动两个线程:一个负责发送垃圾邮件,另一个可以执行来自其C&C服务器的命令,使用Tor通过HTTP协议进行C2通信,长长的.onion

jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion

其中值得一提的是NirSoft的WebBrowserPassView和Mail PassView工具。这些是用于Web浏览器和电子邮件客户端密码的密码恢复工具,在恶意软件中经常用来盗取浏览器密码和邮箱密码,前几天刚见到一个,很好用就是了。

下载地址:https://www.nirsoft.net/utils/web_browser_password.html

紧接着,恶意软件会执行最精髓的操作。

一开始的版本是,它会监控用户打开的窗口,然后窗口标题如果显示了指定关键字则会将窗口标题发送到C&C服务器。

而现在,此功能更改为,只要遇到“sexe”一词时,恶意软件会使用之前通过Tor网络下载的FFmpeg录屏工具,并将视频录制后上传到C&C服务器。

至于为什么要上传这些录屏后的视频,有一种说法是为了敲诈讹钱,也有的是说为了录屏卖片,或者是攻击者自己就想,反正都有可能。

更奇怪的是,这个恶意软件的不同版本会使用不同的字符串,发送到C&C服务器中,从而标记自己。

奇葩的字符串如下,奇葩到我完全看不懂。

打开他的洋葱网站,奇葩之感扑面而来。

“饺子”恶意软件幕后的攻击者,经常会发送一些类似说我看见你看色情网站了,为了不曝光你你要给我比特币之类的钓鱼邮件,恐怕之后会结合录屏的视频进行敲诈,那样可能真的会有人给钱了。

所谓的性敲诈邮件

小声:至于为什么要指定sexe关键词,你可以在twitter输入看看,亲测

原文+IOC链接:

https://www.welivesecurity.com/2019/08/08/varenyky-spambot-campaigns-france/

近期阅读:

▲点击此处或图片

因为知识星球官方要8月20日开始扣税20%,因此到时候本星球必然会涨价到300.所以有需要看最新的网络安全情报和数据就赶紧进来吧,越早越好,欢迎光临

老板求录屏转发

本文源自微信公众号:黑鸟

人已赞赏
安全工具

越南丰田公司遭受攻击,疑似海莲花组织为扶持本地汽车行业而发起

2019-10-16 10:37:59

安全工具

WannaCry救星认罪,承认制造和出售恶意软件

2019-10-16 10:38:06

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索