维也纳娱乐城:窃取比特币的危险恶意程序已栖身Download.com多年

诺贝尔娱乐城 www.h6t4.com.cn

ESET研究人员发现,知名网站download.cnet.com无意间刊登了窃取比特币的多款内置木马程序

作者:Michal Poslušný与Peter Kálnai 发文时间:2018年3月14日 – 临晨02:00

现如今,如您咨询安全专家保障上网安全的基本策略,他很可能给出的最重要建议之一就是,只从正规网站上下载软件。但有时,即使是这样基本而又显而易见的建议,也无法保证您不会感染恶意程序。我们已在download.cnet.com上发现了三款木马应用,而根据Alexa网站访问量排名,这可是全球访客最多的软件发布网站之一(排名第163位)。


来自Reddit论坛子板块/r/monero的用户Crawsh便是其中的一名受害者,他给我们讲述了自己的经历。幸运的是,对他而言,故事的最终结局却是圆满的。


起初他发现有些异常,当他习惯性地向另一地址栏复制粘贴门罗币地址时,突然开始收到该地址无效的提示。作为一名警惕心强、富有经验的用户,很快他便开始怀疑有恶意程序在作祟 – 他的怀疑是正确的:通过对具体原因的进一步调查,最终发现问题的起因的确是恶意程序。复制粘贴的钱包地址,在剪贴板中被恶意程序拦截,并被攻击者采用硬编码写入的比特币地址所替换。幸运的是,对于Crawsh而言,被替换的地址只针对比特币有效,将门罗币地址粘贴进地址栏后便会收到无效提示,幸好他在发送自己的门罗币之前,被目标应用程序检测到 – 当然很多其他受害者可没有这么幸运,他们感染了同一恶意程序,无意间复制粘贴了自己的比特币地址,从而导致迄今为止攻击者已合计收入8.8个比特币。按照2018年3月13日的市价来换算,其总额约为80,000美元。最终,Crawsh在Reddit子板块/r/monero上发帖,讲述了自己的经历,并引起了ESET恶意程序研究人员的注意,后者开始着手对问题内幕展开调查,并迅速发现了一些颇有价值的资讯。

通过Google搜索攻击者的比特币地址,我们找到了部分受害者。例如,曾有人发表过网站被黑的博文。虽与上文恶意程序窃取者无关,但他在博文中提到,原比特币地址被替换为恶意程序作者自己的地址,见图2。据此可以判断,博文作者有可能已感染比特币窃取木马。




传播途径


我们发现,令Crawsh染毒的源头是,他从download.com上下载的一款名为Win32 Disk Imager的内置木马软件。自2016年5月2日以来,该木马软件一直栖身于此网站。

ESET将该木马检测为MSIL/TrojanDropper.Agent.DQJ的变种之一。上周该木马从CNET网站的下载数量为311次,合计下载总数为4500次。

后来在调查过程中我们发现,Win32 Disk Imager并非download.com上所刊登的唯一一款内置木马软件。我们了解到,来自同一作者的至少其他两款软件。第一款名为CodeBlocks,已被CNET屏蔽,内含同一木马机制MSIL/ClipBanker.DF。CodeBlocks是一款知名的开源集成开发环境包(IDE),被很多C/C++开发人员所使用。


另一款则是MinGW-w64,在我们调查之初便可下载。其中包含多种恶意机制,既有比特币窃取木马也有病毒。MinGW基本上就是GCC(GNU免费软件汇编套装)的Microsoft Windows移植版。



两款软件下载量的统计数据,详见下图(直接从download.com网站获取的统计数据)。注意在被CNET下架后,CodeBlocks近期下载量为零。确切下架日期无从知晓,但根据遥感数据显示,下架时间约为2017年3月份前后。


接到ESET通知后,CNET迅速从其官网上移除了上述内置木马软件。


机制分析

木马释放(MSIL/TrojanDropper.Agent.DQJ)

内置木马软件的第一阶段是利用非常简单的释放工具,首先从资源包中提取相应应用软件(Win32DiskImager、CodeBlocks、MinGW)的合法安装包及恶意载荷,将两个文件存储在%temp%文件夹中并执行。


恶意程序在剪贴板中替换钱包(MSEL/ClipBanker.DF)
恶意载荷在简单程度上与释放工具非常接近 – 程序将自身复制到%appdata%\Dibifu_8\go.exe路径,并在注册表中添加运行键值,以确保持续加载。


剪贴板中替换比特币地址,是通过上图中简单的4行代码实现的,即通过正则表达式查找比特币地址,并将其替换为攻击者采用硬编码形式写入的钱包地址:1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj。

攻击者并未费太多精力去隐藏其用意,因为即便是释放工具和ClipBanker的调试符路径都使其本意昭然若揭。据我们判断,“SF to CNET”代表SourceForce to CNET,因为所有三款应用程序都在源代码程序包中不存在恶意进程。

C:\Users\Ngcuka\Documents\V\SF to CNET\Btc Clipboard Rig\WindowsFormsApplication1\obj*\*x86\Release\WindowsFormsApplication1.pdb


还有几项攻击特征,值得受害者查找。首先是,在临时文件夹中,会将恶意载荷和木马程序包以y3_temp008.exe及Win32DiskImage_0_9_5_install.exe名义释放并执行。


替换剪贴板中钱包地址的另一款恶意程序(Win32/ClipBanker.DY)

该恶意载荷由内置木马的MinGW-w64应用软件释放。这是略微更复杂的一款变种,使用了类似的常规钱包搜索表达式:


此外,其中还含有采用资源加密形式的更多恶意组件,配套攻击者名下约达3500个比特币地址,以密钥之中的前三个字符为基础,用以通过类似地址替换受害者的钱包地址(不完整截图)。


该比特币窃取工具所内置的更多恶意载荷,也都有PDB路径。其中之一就是:
C:\Users\Ngcuka\Documents\V\Flash Spreader\obj*\*x86\Release\MainV.pdb。用户名与第一款比特币窃取工具PDB路径中的用户名相同。至此可以认定,所有上述恶意程序样本均由同一人开发。


染毒系统杀毒方法

  • 从下载文件夹路径中,删除已下载的安装包win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) from your Download folder location

  • 删除 exe in the %appdata%\dibifu_8\ 文件夹中的可执行文件 (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)

  • 删除 y3_temp008.exe from %temp%\ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, resp. C758F832935A30A865274AA683957B8CBC65DFDE )

  • 从注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中,删除ScdBcd键值。

我们在调查过程中通知了CNET,后者迅速从官网上删除了内置木马的应用软件,避免了木马的进一步传播。

如您怀疑自己已经染毒,请安装防毒软件以便自动查杀木马文件。针对剪贴板替换性攻击的最有效应对建议是,交易过程中务必仔细核对所复制的地址!

输入输出控制:

内置木马的应用程序:

win32diskimager.exe 0B1F49656DC5E4097441B04731DDDD02D4617566 MSIL/TrojanDropper.Agent.DQJ trojan
codeblocks.exe 7242AE29D2B5678C1429F57176DDEBA2679EF6EB MSIL/ClipBanker.EY trojan
mingw-w64-install.exe 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918 MSIL/TrojanDropper.Agent.DQJ trojan


ClipBankers木马:

mingw-w64 payload #1 BE33BDFD9151D0BC897EE0739F1137A32E4437D9 Win32/ClipBanker.DY trojan
mingw-w64 payload #2 2EABFFA385080A231156420F9F663DC237A9843B Win32/ClipBanker.DY trojan
mingw-w64 payload #3 7B1E9A6E8AF6D24D13F6C561399584BFBAF6A2B5 Win32/ClipBanker.DY trojan
codeblocks.exe payload E65AE5D0CE1F675962031F16A978F582CC67D3D5 MSIL/ClipBanker.AB trojan
win32diskimager.exe payload E0BB415E858C379A859B8454BC9BA2370E239266 MSIL/ClipBanker.DF trojan

 
鸣谢Reddit论坛上的Matthieu Faou、Alexis Dorais-Joncas、David Jagoš、Robert Šuman、Vladislav Straka以及/u/Crawsh为本次调查所提供的协助。

 

关于Version 2 Limited

Version 2 Limited是亚洲最有活力的IT公司之一,公司发展及代理各种不同的互联网、资讯科技、多媒体产品,其中包括通讯系统、安全、网络、多媒体及消费市场产品。透过公司庞大的网络、销售点、分销商及合作伙伴,Version 2 Limited 提供广被市场讚赏的产品及服务。Version 2 Limited 的销售网络包括中国大陆、香港、澳门、台湾、新加坡等地区,客户来自各行各业,包括全球1000大跨国企业、上市公司、公用机构、政府部门、无数成功的中小企及来自亚洲各城市的消费市场客户。


关于ESET

ESET成立于1992年,是一家面向企业与个人用户的全球性的电脑安全软件提供商,其获奖产品 — NOD32防病毒软件系统,能够针对各种已知或未知病毒、间谍软件 (spyware)、rootkits和其他恶意软件为电脑系统提供实时?;?。ESET NOD32佔用 系统资源最少,侦测速度最快,可以提供最有效的?;?,并且比其他任何防病毒产品获得了更多的Virus Bulletin 100奖项。ESET连续五年被评为“德勤高科技快速成长500 强”(Deloitte’s Technology Fast 500)公司,拥有广泛的合作伙伴网络,包括佳能、戴尔、微软等国际知名公司,在布拉迪斯拉发(斯洛伐克)、布里斯托尔(英国 )、布宜诺斯艾利斯(阿根廷)、布拉格(捷克)、圣地亚哥(美国)等地均设有办事处,代理机构覆盖全球超过100个国家。 

  • 农业部就“实施乡村振兴战略 推动农业转型升级”答问 2018-09-18
  • 17个最难认的汉字!最后一个输入法都打不出来 2018-09-18
  • 与希腊“和解” 马其顿将改国名为“北马其顿” 2018-09-14
  • 一些网红主播何以频频僭越法律红线 2018-09-14
  • 趁热吃粽子 吃完你还得做这件事 2018-06-30
  • “金六福·一坛好酒”首届全球陶绘大赛成功落幕 2018-06-30