2020年06月10日
By:爱上平顶山@慢雾安全团队
前言
近日,慢雾安全团队收到情报,有专业黑产团队针对交易所用户进行大规模邮件批量撒网钓鱼攻击。
钓鱼邮件如图:
慢雾安全团队收到情报后,第一时间展开分析。
以下是详细分析过程:
攻击细节
我们点击跳转目标页面:
从上图可以看到,针对 Mac OS X / macOS / Windows 不同系统都给出了下载链接;链接指向黑客木马文件存放位置。
于 3 天前,创建的账号,里面存在两个项目:
b*****.github.io
b****t
上图样本 “Bi****-Setup.exe” 是 Windows 下的恶意文件。
“index.html” 是一个仿冒的升级提示页面,诱导用户升级下载。
详细分析
接下来我们对Windows端和Mac端分别进行分析:
1.Windows 端:
下图为样本 “Bi****-Setup.exe” 数字签名:
(1)EXE 文件基本信息
文件名称:B****-KYC-Setup.exe
子文件信息:
script.txt / 877da6cdd4eb284e2d8887b24a24168c / Unknown
setup.exe / fe1818a5e8aed139a8ccf9f60312bb30 / EXE
WinSCP.exe / e71c39688fad97b66af3e297a04c3663 / EXE
(2)关键行为
行为描述: 屏蔽窗口关闭消息
详情信息:hWnd = 0x00030336, Text = Deep Onion Setup: Completed, ClassName = #32770
(3)进程行为
行为描述: 创建本地线程
详情信息:
(4)行为描述: 创建新文件进程
详情信息:
(5)文件行为
行为描述: 创建文件
详情信息:
(6)行为描述: 创建可执行文件
详情信息:
(7)行为描述: 覆盖已有文件
详情信息:
(8)行为描述: 查找文件
详情信息:
(9)行为描述: 删除文件
详情信息:
(10)行为描述: 修改文件内容
详情信息:
(11)网络行为
行为描述: 建立到一个指定的套接字连接
详情信息:
IP: **.138.40.**:128, SOCKET = 0x000001d0
IP: **.138.40.**:128, SOCKET = 0x000001cc
我们测试打开,自解压:
结果发现用于上传本地用户信息的 FTP 账号密码,同时有一个正常的 Electrum Installer 文件,一旦用户安装后使用, 在 Electrum 下输入的敏感信息将被发送到远程恶意 FTP 服务器接收。
2020年06月02日 开始,已经有用户陆续中招。
2.Mac 端:
(1)安装命令:
(2)脚本内容:
(3)恶意地址:https://github.com/deep-onion
(模仿知名项目https://deeponion.org/ 的Github地址 https://github.com/deeponion )
恶意地址下也有两个项目:
deep-onion.github.io
wallet
https://github.com/deep-onion/deep-onion.github.io
此文件此处不做分析。
(4)Mac 端
https://github.com/deep-onion/wallet
恶意文件是 DeepOnion
执行恶意脚本后是一系列恶意操作,
如:
大致流程
通过以上一些列操作,从而盗取用户隐私信息。
备注:
C2 信息:
crontab.site
邮箱 alashanvinov@yandex.ru
phone_tag +7.9453949549
注册时间 2020-04-20 17:47:03
过期时间 2021-04-20 23:59:59
更新时间 2020-04-20 17:47:04
慢雾建议
针对本次攻击事件慢雾安全团队建议:
认清官方邮箱后缀
谨慎对待未知来源邮件里的链接与附件
怀疑一切以“升级”、“账号异常”等理由的邮件
对于需要处理但可疑的邮件内容,需及时咨询专业人员
欢迎随时联系慢雾安全团队 Team@slowmist.com
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
来源:火星财经-慢雾科技
简介:“慢雾”,专注区块链生态安全
评论0条