登陆

章鱼彩票下载-NovaLoader:一款针对巴西银行的歹意软件宗族

admin 2019-05-27 242人围观 ,发现0个评论

写在前面的话

近期,研讨人员检测到了一个十分风趣的针对巴西银行的歹意软件活动。这款歹意软件名叫NovaLoader,选用Delphi开发,并且运用了Visual Basic (VBS)脚本语言来扩展其他功用。尽管终究的Payload不算新颖,并且也有许多研讨人员现已研讨过了,但咱们这一次发现的多阶段Payload传达却是之前没有呈现过的。

传达办法

在之前的样本中,这款歹意软件所选用的传达办法包括垃圾邮件、社工活动以及垂钓网站等等。进犯者运用了各种参数和选项来保证歹意软件的传达,并测验绕过安全防护产品的检测。一般来说,他们首要运用的都是抢手的合法服务,比如说Dropbox、GitHub、Pastebin、AWS以及GitLab等等,并且还会运用相似No-IP和DynDNS等动态DNS服务。

依据研讨人员的剖析,NovaLoader在其感染链中运用了Autolt、PowerShell和Batch脚本,但这是咱们初次发现它居然还运用了VBS。除此之外,在此次进犯活动中,它还运用了加密脚本,而不像之前那样仅仅对脚本代码进行了混杂处理。

主Dropper MD5:4ef89349a52f9fcf9a139736e236217e

这款歹意软件的主Dropper比较简单:它仅有的效果便是解密嵌入其间的VB脚本,并运转解密后的脚本:

第一阶段脚本

下图为嵌入脚本解密前和解密后的代码。

这个VBS文件将会解密一个URL地址(dwosgraumellsa[.]club/cabaco2.txt),并下载另一个加密脚本,然后在该脚本解密后运转脚本:

第二阶段脚本

下载下来的VB脚本解密后的部分代码段如下所示:

VB脚本会向“http://54.95.36[.]242/contaw.php”发送一个GET恳求,很可能是为了让长途C2服务器知道它现已成功在方针体系上运转了。接下来,它会测验运用WMI查询并检测当时是否为虚拟机环境:

NovaLoader将会把下面这些可执行文件复制到目录“C:\\Users\\Public\\”中:

C:\\Windows\\(system32|SysWOW64)\\rundll32章鱼彩票下载-NovaLoader:一款针对巴西银行的歹意软件宗族.exe

C:\\Windows\\(system32|SysWOW64)\\Magnification.dll

接下来,它会从以下地址下载一些依靠文件:

32atendimentodwosgraumell[.]club

32atendimentodwosgraumell[.]club/mi5a.php文件在解密之后会存储到章鱼彩票下载-NovaLoader:一款针对巴西银行的歹意软件宗族“C:\Users\Public\{random}4.zip”。

32atendimentodwosgraumell[.]club/mi5a1.zip文件会存储为“C:\Users\Public\{random}1.zip”。

32atendimentodwosgraumell[.]club/mi5asq.zip文件的存储途径为“C:\Users\Public\{random}sq.zip”。

然后它会向“54.95.36.242/contaw{1-7}.php”发送多个GET恳求:

GET/contaw.php

GET/contaw2.php?w={redacted}BIT-PC_Microsoft%20Windows%207%20Professional%20_True

GET/contaw3.php?w={redacted}BIT娱乐圈-PC

GET/contaw4.php?w={redacted}BIT-PC

GET/contaw5.php?w={redacted}BIT-PC

GET/contaw6.php?w={redacted}BIT-PC_2/1/2019%205:05:06%20PM

GET/contaw7.php?w={redacted}BIT-PC_2/1/2019%205:05:06%20PM_CD=414KbCD1=9160Kb_

除此之外,它还会向“C:\Users\Public\”目录存储多个歹意文件:

终究,它将会运用复制过来的rundll32.exe文件来解密DLL并导出功用函数:

第三阶段的Payload是一个DLL文件,它将作为终究阶段Payload的加载器。它经过r章鱼彩票下载-NovaLoader:一款针对巴西银行的歹意软件宗族undll32.exe运转,首要功用便是解密和加载终究阶段的Payload。

终究Payload

终究阶段的Payload选用Delphi开发,并且包括用户凭据盗取(针对各大巴西银行)在内等多种功用。并且它还会监控浏览器窗口的标题,假如检测到了匹配的巴西银行称号,歹意软件将会操控方针体系并与歹意C2服务器树立衔接,然后阻挠用户拜访真实的银行网银页面,并在后台进行歹意操作。

歹意软件所运用的部分指令如下:

歹意软件中跟银行有关的部分字符串如下:

侵略要挟目标IoC MD5:

60e5f9fe1b778b4dc928f9d4067b470b

4ef89349a52f9fcf9a139736e236217e

100ff8b5eeed3fba85a1f64db319ff40

99471d4f03fb5ac5a409a79100cd9349

cb2ef5d8a227442d0156de82de526b30

a16273279d6fe8fa12f37c57345d42f7

ac4152492e9a2c4ed1ff359ee7e990d1

fdace867e070df4bf3bdb1ed0dbdb51c

4d5d1dfb84ef69f7c47c68e730ec1fb7

6bf65db5511b06749711235566a6b438

c5a573d622750973d90af054a09ab8dd

ef5f2fd7b0262a5aecc32e879890fb40

35803b81efc043691094534662e1351c

34340c9045d665b800fcdb8c265eebec

a71e09796fb9f8527afdfdd29c727787

5a9f779b9cb2b091c9c1eff32b1f9754

a7117788259030538601e8020035867e

cb9f95cec3debc96ddc1773f6c681d8c

a7722ea1ca64fcd7b7ae2d7c86f13013

URL:

185[.]141[.]195[.]5/prt1.txt

185[.]141[.]195[.]81/prt3.txt

185[.]141[.]195[.]74/prt1.txt

dwosgraumel章鱼彩票下载-NovaLoader:一款针对巴西银行的歹意软件宗族lsa[.]club/cabaco2.txt

wn5zweb[.]online/works1.txt

23[.]94[.]243[.]101/vdb1.txt

167[.]114[.]31[.]95/gdo1.txt

167[.]114[.]31[.]93/gdo1.txt

*参阅章鱼彩票下载-NovaLoader:一款针对巴西银行的歹意软件宗族来历:zscaler,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
章鱼彩票下载-NovaLoader:一款针对巴西银行的歹意软件宗族
请关注微信公众号
微信二维码
不容错过
Powered By Z-BlogPHP