.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
FortiGuard實驗室最近發現了一個電子郵件釣魚活動,利用欺騙性的預訂信息引誘受害者點擊惡意PDF文件。 PDF下載了一個用PowerGUI創建的.NET可執行文件,然後運行PowerShell腳本來獲取最終的惡意軟件,稱為MrAnon Stealer。
該惡意軟件是一個基於Python的信息竊取程序,使用cx Freeze壓縮以逃避檢測。 MrAnon Stealer竊取受害者的憑據、系統信息、瀏覽器會話和加密貨幣擴展,攻擊流程如下所示。
攻擊流
下載網址主要在德國被查詢,這表明它是攻擊的主要目標。這個URL的查詢數量在2023年11月顯著上升,該活動在該月異常活躍和激進。在本文中,我們將詳細介紹該惡意軟件在每個階段的行為。
初始感染載體:Booking.pdf
攻擊者偽裝成一家希望預訂酒店房間的公司,發送主題為“12月房間可用性查詢”的網絡釣魚電子郵件。該網站包含假日期間虛假的酒店預訂信息,附加的惡意PDF文件有一個下載鏈接隱藏在對像中。其解碼後的數據如下:
網絡釣魚郵件
惡意PDF文件
.NET可執行文件:adobe.exe通過“Loader”類中的字符串,可以發現惡意軟件使用了PowerShell腳本編輯器,該編輯器將PowerShell腳本轉換為微軟可執行文件。
反編譯的Exec()函數
在檢查下圖所示的.NET可執行文件後,我們發現它利用ScriptRunner.dll提取“Scripts.zip”以獲得一個PowerShell腳本。解壓後的文件存放在以下位置:
“%USERPROFILE%\AppData\Local\Temp\QuestSoftware\PowerGUI”
這個.NETMicrosoft Windows可執行文件的唯一任務是解壓縮名為“down2”的嵌入式腳本,並使用PowerShell.exe執行它。打包的文件和PowerShell配置位於文件的資源部分,如下圖所示。
加載PowerShell腳本的ScriptRunner.dll
惡意軟件的資源部分
PowerShell腳本:down2.ps1該腳本啟動Windows窗體的加載並配置其設置,包括窗體、標籤和進度條。此外,它在後續腳本的執行中定義了文本,以消除用戶的疑慮。
Create Windows表單
在'Form Load event'部分中,腳本從相同的域“anonbin[.]ir”中檢索有效負載,並解壓縮臨時文件夾中的文件。然後,它在zip歸檔中定位執行文件,並使用“Start-Process”執行。在這種狀態下,會顯示一個名為“File Not Supported”的窗口,並伴有一條指示“Not Run: python.exe.”的狀態消息。這種欺騙性的演示旨在誤導用戶,使其相信惡意軟件尚未成功執行。下圖顯示了惡意軟件執行過程中的窗口和進度條。
Form Load事件部分
執行python.exe期間顯示的進度窗口
Cx_Freeze打包文件:python.exe壓縮文件“Ads-Pro-V6-Free-Trail (1).zip”包含多個文件。下圖顯示了解壓文件夾的內容。在此文件夾中,兩個DLL文件作為乾淨的組件,以方便“Python .exe”進程加載額外的Python代碼。下圖展示了“Python .exe”中的WinMain函數,清楚地表明這不是一個合法的Python可執行文件。
Ads-Pro-V6-Free-Trail (1).zip中的文件
python.exe中的WinMain
跟踪初始調用可以發現執行文件源自cx_Freeze工具。然後,腳本搜索目錄“\lib\library.zip”,並使用“PyObject_CallObject”調用惡意Python代碼。
檢查目錄\\lib\\library.zip
調用Python主代碼
下圖顯示了“library.zip”中的文件。值得注意的是,與合法文件相比,“cstgversion_main__.pyc”由於其獨特的創建時間而脫穎而出。此特定文件包含負責數據盜竊的主要函數。
library.zip中的文件
MrAnon Stealer首先,惡意軟件會驗證系統上是否存在以下進程,如果存在則會終止它們:
“ArmoryQt.exe”,“AtomicWallet.exe”,“brave.exe”,“bytecoin-gui.exe”,“chrome.exe”,“Coinomi.exe”,“Discord.exe”,“DiscordCanary.exe”,“Element.exe”,“Exodus.exe”,“firefox.exe”,“Guarda.exe”,“KeePassXC.exe”,“NordVPN.exe”,“OpenVPNCo nnect.exe”,“seamonkey.exe”,“Signal.exe”,“Telegram.exe”,“filezilla.exe”,“filezilla-server-gui.exe”,“keepassxc-proxy.exe”,“msedge.exe”,“nordvpn-service.exe”,“opera.exe”,“steam.exe”,“walletd.exe”,“waterfox.exe”,“yandex.exe”
然後使用“ImageGrab”抓取截圖,保存文件名為“Screenshot (Username ).png.”,此外,它還與“api.ipify.org”和“geolocation-db.com/jsonp”等合法網站建立連接,以檢索系統的IP地址、國家名稱和國家代碼。它還從下列來源收集資料:
瀏覽器數據:7Star、Amigoz、Bravez、Cent Browser、Chrome Canary、Epic Privacy Browser、Google Chrome、Iridium、Kometa、Microsoft Edge、Opera、Opera GX、Orbitum、Sputnik、Torch、Uran、Vivaldi、Yandex、Firefox、Pale Moon、SeaMonkey和Waterfox。
桌面錢包:Bytecoin Wallet, Guarda, Atomic Wallet, Coinomi Wallet, Bitcoin Armory和Exodus.
瀏覽器擴展:
即時通信:Discord, Discord Canary, Element, Signal, Telegram Desktop。
VPN客戶端:NordVPN、ProtonVPN和OpenVPN Connect。
Browser Wallet:
其他:FileZilla和FileZilla Server。
遊戲:Steam。
文件:它掃描這些目錄:Desktop, Documents, Downloads, Pictures, and grabs specific files with following extensions: “.7z,” “.bmp,” “.conf,” “.csv,” “.dat,” “.db,” “.doc,” “.jpeg,” “.jpg,” “.kdbx,” “.key,” “.odt,” “.ovpn,” “.pdf,” “.png,” “.rar,” “.rdp,” “.rtf,” “.sql,” “.tar,” “.txt,” “.wallet,” “.xls,” “.xlsx,” “.xml,” and “.zip.”
接下來,它壓縮被盜數據,用密碼保護數據,並將文件名指定為“Log(Username).zip”。壓縮後的文件將使用URL上傳到公共文件共享網站hxxps://store1[.]gofile[.]io/uploadFile。最後,它將下載鏈接和系統信息附加到一條消息中,該消息使用bot令牌6799784870:AAHEU6EUdnAjRcH8Qq0TCokNtVJSL06VmbU發送到攻擊者的Telegram頻道。
Telegram消息中的被盜數據
zip文件
MrAnon Stealer的支持通道如下圖所示。該支持渠道推廣其產品,提供增強的功能,並在“hxxp[:]//anoncrypter[.]com”上為所有相關工具提供購買頁面
MrAnon Stealer的telegram頻道
MrAnon Tools的網站
攻擊者在今年早些時候建立了網站“anonbin[.]ir”,如下圖所示,並下載了所有相關文件。經過調查,我們發現了7月份使用cx_Freeze的類似打包文件。這些文件始終以基於Python的竊取程序為特徵,由代碼中共享的“HYDRA”標識標識,如下圖所示。
該活動最初在7月和8月傳播Cstealer,但在10月和11月過渡到傳播MrAnon Stealer。這種模式表明了一種戰略方法,即繼續使用釣魚電子郵件來傳播各種基於Python的竊取程序。
hxxps[:]//anonbin[.]ir的主頁
七月份惡意軟件的標識
總結該惡意軟件使用PowerGUI和cx-Freeze工具創建一個複雜的過程,涉及.NET可執行文件和PowerShell腳本。攻擊者還使用虛假錯誤消息等技巧來隱藏攻擊活動,從特定域下載並提取文件,以運行有害的Python腳本。該腳本提取乾淨的DLL文件和名為“python.exe”的惡意軟件,用來掩蓋惡意有效負載MrAnon Stealer的加載。它從幾個應用程序中竊取數據和敏感信息,然後將竊取的數據壓縮並上傳到公共文件共享網站和攻擊者的Telegram頻道,用戶應小心網絡釣魚郵件和不清晰的PDF文件。