恶意软件即服务的新玩家 Allcome clipbanker
source link: https://www.freebuf.com/articles/network/322713.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
恶意软件即服务的新玩家 Allcome clipbanker 限时体验
编组备份 4
网页灯泡
Allcome clipbanker 最初是由研究人员 @3xp0rtblog发现的,披露了它的广告、定价以及购买的联系方式(Telegram)。Allcome clipbanker 提供的恶意软件即服务定价分为每月 25 美元和终身许可 220 美元两种。
广告
Allcome clipbanker 在广告中特别强调它能够窃取许多不同付款方式的加密货币钱包,并且每周都会进行更新。客户也可以通过购买工具来自行增加窃密功能。
对应翻译
Allcome 是一个相对较小(120KB)的 C/C++ 程序。发现的所有样本都具有相同的持久化机制:样本将自己复制到 %LOCALAPPDATA%\CrashDumps\subst.exe,设置每分钟运行一次的计划任务 NvTmRep_CrashReport3_{B2FE1952-0186}。
持久化
样本创建一个名为 08841d-18c7-4e2d-f7e29d的互斥量,并检查文件是否以 subst开头。如果没有,启用上述持久化机制。
从资源段中检索加密的 C&C 服务器 URL,解密后使用。C&C 服务器响应 +或者 -,取决于客户是否拥有有效的许可证。服务器响应 -的话,样本不会窃取任何机密信息。如果响应其他内容,样本会检查或替换剪贴板内容。
部分代码
窃取的核心代码和其他 clipbanker 类似,Allcome 会将加密货币钱包地址替换为攻击者的地址,将交易劫持到攻击者的钱包。PayPal 地址、Steam 交易等都与之类似。
部分代码
它的功能相对原始,主要检查字符串长度和字符串的开头。并不关心来源,也不做过多的校验。
例如在替换 PayPal 交易地址时,样本将任何包含 @和 .的字符串替换为攻击者的电子邮件地址。这意味着,受害者复制任何的电子邮件地址都会被替换。这样的感染会非常嘈杂,而且也容易引起受害者的注意。
C&C 地址、攻击者的钱包地址等配置信息都加密保存在资源段中。字符串表的每个 ID 都对应一个用于替换剪贴板内容的地址。
资源信息
研究人员编写了提取配置信息的脚本,并且提供了一些已经提取的配置信息。有些攻击者的钱包已经出现交易记录,可能来自失陷主机。
提取并解密配置
可以通过 VirusTotal 查询 behaviour_network:dba692117be7b6d3480fe5220fdd58b38bf.xyz进一步收集样本。
尽管广告经过了精心设计,但 Allcome clipbanker 的技术水平还是有限的。尽管如此,它们还是获得了想当的关注度,通过 VirusTotal 就可以检索到 51 个样本。营销就是一切!
02b06acb113c31f5a2ac9c99f9614e0fab0f78afc5ae872e46bae139c2c9b1f6
hxxp://dba692117be7b6d3480fe5220fdd58b38bf.xyz/exp.php
本文作者:Avenger, 转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK