恶意攻击——Pirate matryoshka

2019-03-11 14:22:577240人阅读

使用torrent跟踪器传播恶意软件是一种常见的做法; 网络犯罪分子将其伪装成流行的软件、电脑游戏、媒体文件以及其他广受欢迎的内容。我们在今年早些时候发现了一个这样的攻击活动,The Pirate Bay(TPB)跟踪器充斥着分发恶意软件的有害文件,均以付费程序的破解副本为幌子。

恶意攻击——Pirate matryoshka

TPB中的恶意种子

我们注意到,跟踪器包含从许多不同帐户创建的恶意种子,其中一些账户在TBP上注册已有一段时间了。

恶意攻击——Pirate matryoshka

恶意 torrent的描述

Torrent内容

下载到用户计算机的文件不是预期的软件,而是木马,其基本逻辑由SetupFactory安装程序实现。我们的安全解决方案将该恶意软件检测为Trojan-Downloader.Win32.PirateMatryoshka。

恶意攻击——Pirate matryoshka

 

Pirate Matryoshka样本的工作流程

在初始阶段,安装程序解密另一个SetupFactory安装程序来显示网络钓鱼网页。

恶意攻击——Pirate matryoshka

获取第一个恶意组件

该页面直接在安装窗口中打开,并请求用户的TBP帐户凭据,如此则可以继续下去。

恶意攻击——Pirate matryoshka

获取TBP帐户的仿冒页面

被盗用的帐户最有可能被网络犯罪分子用来传播更多恶意种子 – 我们在上面提到,不仅仅是新创建的帐户被使用。

在执行下一步之前,Pirate Matryoshka首次验证它是否在受攻击的系统中运行。为此,它会检查注册表中的路径HKEY_CURRENT_USER\Software\dSet。如果存在,则终止进一步的执行。如果检查结果为否定,则安装程序会激活pastebin.com服务以获取指向附加模块及其解密密钥的链接。

恶意攻击——Pirate matryoshka

恶意攻击——Pirate matryoshka

获取第二个恶意组件

第二个下载的组件也是SetupFactory安装程序,用于按顺序解密和运行四个PE文件:

恶意攻击——Pirate matryoshka

第二个恶意组件运行的模块

其中第二个和第四个是InstallCapital和MegaDowl文件合作伙伴程序的下载程序(我们归类为广告软件)。 它们通常通过文件共享站点向用户发送 – 除了下载所需内容外,他们的目标是在小心隐藏取消选项的同时安装其他软件。 例如,在InstallCapital中,可安装软件的完整列表放在许可协议的末尾:

恶意攻击——Pirate matryoshka

InstallCapital中可安装软件的完整列表

在MegaDowl中,列表隐藏在看似无效的高级设置按钮后面:

恶意攻击——Pirate matryoshka

MegaDowl中可安装软件的完整列表

另外两个文件是用VisualBasic编写的自动注册器,它们是阻止用户取消附加软件安装所必需的(在这种情况下,网络犯罪分子是空手而归)。自动注册器在安装程序之前运行; 检测到安装程序窗口时,他们会选中复选框并单击所需的按钮,以便用户同意安装不必要的软件。

恶意攻击——Pirate matryoshka

恶意攻击——Pirate matryoshka

恶意攻击——Pirate matryoshka

搜索合作伙伴下载程序窗口并单击它们

由于PirateMatryoshka,受害者的计算机充斥着破坏用户和浪费系统资源的有害程序。另外,文件合作伙伴计划的所有者通常不会跟踪其下载程序中提供的程序。 我们的研究表明,合作伙伴安装程序提供的五分之一的文件是恶意的 – 我们遇到的是pBotRazy等等。

恶意攻击——Pirate matryoshka

合作伙伴程序下载程序可以做的事

结论

网络犯罪分子总会有新的欺诈行为。在这种特殊情况下,他们采用了一种通过torrent跟踪器分发恶意内容的方法,以在用户计算机上安装广告软件。结果,许多TPB用户不仅在他们的机器上安装了广告软件或恶意软件,而且他们的帐户也被盗取。

卡巴斯基实验室解决方案通过以下判断检测PirateMatryoshka及其组件:

· Trojan-Downloader.Win32.PirateMatryoshka
· Trojan.Win32.InstClick
· AdWare.Win32.StartSurf
· AdWare.Win32.SmartInstaller
· AdWare.Win32.Generic

IOCs

· 66860309953dc7cd7faee88ec90a81f6
· 7576b8677975261fbb1e799d0231ec01
· 64dc8f3197607dbf652b985edb99ad4e
· 035cff7c52460a69f77a0a09db05a6f7
· a85f90f07dd9e8aab51c65d8287ec6be
· a857ae5cb87b23359ed70b8177aa44d3
· 45d4df9b38a8f8da385714f32415cd34

钓鱼域名

· www.mobilekey[.]pw


本文翻译自:https://securelist.com/piratebay-malware/89740/

翻译作者:TRex  原文地址:https://www.4hou.com/web/16619.html

0
现金券
0
兑换券
立即领取
领取成功