近日���,亞信安全截獲了一款偽裝成屏幕保護程序的Agent Tesla間諜木馬。該木馬通過檢測進程名稱的方式達到反調(diào)試目的��,經(jīng)過解密后采用進程鏤空的方式最終執(zhí)行惡意攻擊載荷�。其會竊取多個瀏覽器登錄憑證和COOKIE信息��,截取屏幕信息���,記錄鍵盤按鍵�����,最后將收集到的數(shù)據(jù)通過SMTP發(fā)送到黑客的郵箱��。亞信安全將其命名為TrojanSpy.MSIL.NEGASTEAL.DYSGVZ�����。
攻擊流程
病毒詳細分析
該病毒偽裝成屏幕保護程序����,誘騙用戶點擊:
其使用C# 編寫,反編譯后代碼被混淆:
去除混淆后�,我們繼續(xù)進行分析發(fā)現(xiàn),該病毒具有反調(diào)試功能���,其會檢測父進程的名字是否為“dnSpy.exe”:
我們更改了調(diào)試器名字后繼續(xù)進行分析��,其看起來像是一款游戲:
但是卻在初始化的時候開始執(zhí)行惡意代碼���,將資源加載到內(nèi)存中并執(zhí)行:
其加載的資源為PE可執(zhí)行文件:
PE可執(zhí)行文件運行起來后開始加載主模塊圖像資源并解碼執(zhí)行:
加載后的程序如圖所示:
其采用進程鏤空的方式將惡意代碼(Byte_1中所存儲的)寫入到新的子進程中運行:
我們將Byte_1中的數(shù)據(jù)dump出來繼續(xù)分析,其Dump出來的是個PE文件:
其竊取如下瀏覽器所保存的登陸信息:
Opera Browser Yandex Browser Vivaldi Coccoc Coowon Brave Elements Browser 7Star Orbitum Amigo Chromium Torch Browser 360 Browser LieBao Browser Sleipnir 6 Chedot Epic Privacy Citrio Kometa Sputnik CentBrowser Cool Novo Iridium Browser Uran QIP Surf Comodo Dragon
將搜集到的信息通過SMTP發(fā)送給黑客:
黑客收信郵箱賬號與密碼:
其他參數(shù):
Smtp Host Smtp.yandex.com Smtp enable ssl true Smtp port 587
收集瀏覽器cookie打包后發(fā)送到黑客郵箱:
功能如下:
CO 瀏覽器COOKIE PW 瀏覽器保存的密碼 SC 屏幕截圖 KL 鍵盤記錄
黑客郵箱界面:
解決方案
不要點擊來源不明的郵件以及附件�;
不要點擊來源不明的郵件中包含的鏈接�����;
請到正規(guī)網(wǎng)站下載程序�;
采用高強度的密碼�,避免使用弱口令密碼,并定期更換密碼�����;
IOC 文件名稱 IMG_9120000151005_GR1342.scr 文件信息 SHA1: 2B9D30611F9C622116CB9553**74FD90043A19F8 編譯平臺 .Net 亞信安全檢測名 TrojanSpy.MSIL.NEGASTEAL.DYSGVZ
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
