虚假Pirate Chick VPN推送AZORult木马

作者:   深圳市网安计算机安全检测技术有限公司 2019/05/13 14:19:45 90次阅读 国际
文章来源:https://www.4hou.com/web/17977.html

       研究人员分析发现有广告恶意软件安装名为Pirate Chick的VPN软件,该VPN软件会连接到远程服务器来下载和安装恶意payload——AZORult信息窃取木马。

       因为广告恶意软件需要看起来尽可能合法和合理,该恶意软件要求用户同意隐私政策和知情同意,看起来跟真的网站一模一样。

       下面是Pirate Chick VPN的网站,看起来和其他VPN站点一模一样,还有3个月的免费试用期。

虚假Pirate Chick VPN推送AZORult木马

                                                                                            Pirate Chick网站

       恶意软件使用的是一家英国的ATX国际公司的证书进行签名,这样使可执行文件更加可信。研究人员也发现大多数签名的恶意软件都与英国公司相关联。

虚假Pirate Chick VPN推送AZORult木马

                            签名的可执行文件

       研究人员分析该样本发现这是一款伪装成合法VPN软件的木马,会在后台下载和安装恶意软件payload。

隐藏的恶意payload

       当执行Pirate Chick VPN的安装文件时,它会下载和安装一个payload到%Temp%文件夹并执行该payload。之前的payload是AZORult信息窃取器木马,现在的payload变成了进程监控器,作为启动另外的攻击活动的临时填充。

       第一次执行时,安装文件会将一些字符串融入到进程名中,比如ImmunityDebugger, Fiddler, Wireshark, Regshot, ProcessHacker。然后检查运行进列表,如果检测到列表中的进程,就跳过恶意软件payload的安装。

虚假Pirate Chick VPN推送AZORult木马                                                                            进程检查的字符串

       然后恶意软件会连接到https://www.piratechickvpn.com/collectStatistics.php,该网站会根据受害者的IP地址返回所在地区。如果用户来自俄罗斯、白俄罗斯、乌克兰或哈萨克斯坦,就跳过恶意payload。

虚假Pirate Chick VPN推送AZORult木马

                                                        检查是否来自俄语国家

       然后检查用户是否在Vmware, VirtualBox, HyperV下运行,如果是就跳过恶意payload。

       如果用户通过了以上检查,就从https://www.piratechickvpn.com/wohsm.txt下载文件,对内容执行特征替换,然后base64解码字符串。

       这会将下载的文件转成一个工作的可执行文件,工作的可执行文件保存为%Temp%\wohsm.exe,然后执行。可执行文件现在是Sysinternals Process Monitor进程监控工具,之前是AZORult木马。

虚假Pirate Chick VPN推送AZORult木马

                                                            在下载的文件中替换字符并执行

       最后,Pirate Chick VPN的主安装文件如下图所示:

虚假Pirate Chick VPN推送AZORult木马                                                                            Pirate Chick安装界面

        VPN成功安装后,用户会看到如下界面要求用户登陆。

虚假Pirate Chick VPN推送AZORult木马

                                                                    Pirate Chick VPN Signup

       Signup屏幕无法正常显示,但这表明了木马如何伪装成VPN程序,并安装恶意payload。

通过广告恶意软件传播

       根据Any.Run session的分析,研究人员发现Pirate Chick VPN通过伪造的Adobe Flash Players 和广告恶意软件进行传播。

       在过去,主要安装广告恶意软件和其他用户不想要的扩展,但是现在开始安装挖矿机、勒索软件、密码窃取木马和广告点击器等。

       在本案例中,安装器伪装成Flash Player下载器,伪装成Flash Player升级。

虚假Pirate Chick VPN推送AZORult木马

        伪装成Flash Player升级

       从Any.Run process graph中可以看出,piratechickvpnsetup.exe安装了vpnclientupdate.exe(实际上是AZORult)。

虚假Pirate Chick VPN推送AZORult木马

                                                                            AZORult感染图

       目前Pirate Chick VPN已经不再安装密码窃取器木马,但是会连接到站点,下载和运行混淆版的Procmon.exe。而且攻击者很容易就可以将其替换为其他想要安装的恶意软件。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室