【安全资讯】疑似针对外贸等相关人士的钓鱼活动分析

匿名用户 2021-06-01 15:46:52 503人浏览

研究人员在2021年3月到4月检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。其伪装成一艘名为UNIVERSE PROSPERITY的散货邮轮的信息文件进行钓鱼邮件传播,最终执行木马载荷为一个数据窃取工具Formbook,该工具自 2016 年初以来就开始在各种黑客论坛上出售。数据统计显示已有超过百个国内外企业或个人受到此次攻击影响。


此次邮件钓鱼攻击中,钓鱼邮件中所携带的恶意压缩包名称大多为:MV UNIVERSE PROSPERITY.arj。该木马执行流程图如下:



其中的木马载荷:MV UNIVERSE PROSPERITY.exe使用nsis打包,执行后加载lb3n2l.dll的导出函数Cdkrixeoskzlr,并解密出一段ShellCode执行。而该木马大量使用内存解密方式来释放数据和功能模块。该shellcode代码会检测执行环境(如虚拟机、沙箱、调试环境等),通过后才会加载执行最终的载荷Formbook。


FormBook 是一个强大的数据窃取工具,其功能主要包括:

  • 1.键盘记录
  • 2.文本监控
  • 3.抓取 HTTP/HTTPS/SPDY/HTTP2表单和网络请求
  • 4.从浏览器和电子邮件客户端抓取密码
  • 5.屏幕截图


FormBook解密的流程图如下:



此轮解密使用RC4算法,内置一个16字节密钥。最终解密出一个将要注入的程序列表。之后,木马进程会从解密的这份39个进程列表中随机选择一个并进行挂起、注入等操作。执行该操作时,会再次做反调试检查。完成所有操作后,通过动态加载方式,执行木马模块。最终将formbook载荷注入到加载lb3n2l.dll的进程。


完成一系列复杂的加载操作之后,FormBook会尝试解密连接木马作者的C2服务器。木马会试图获取浏览器保存的账号密码,主流浏览器均在其支持列表之中。检查到对应浏览器后,木马会执行相应浏览器登录密码数据库的拷贝命令,最终将拷贝到DB1文件中。

失陷指标(IOC)14
钓鱼攻击 Formbook 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。