攻击者通过 Minecraft 包传播窃密程序

2024-05-19 469 0

如今许多游戏开发商都会允许用户对游戏进行定制修改,以增加玩家的乐趣。玩家可以下载其他人创建的软件包,这也就成为了攻击者传播恶意软件的机会。近日,研究人员就发现了攻击者精心设计的通过 Minecraft 包分发的窃取程序。

YouTube 上共享的包中已经发现了 zEus 窃密软件的身影,该恶意软件的变种也通过 Minecraft 包进行分发。恶意软件内嵌在 WinRAR 自解压文件中,而压缩文件模拟 Windows 屏幕保护文件。文件运行后会执行窃密程序并打开文件图标的图片,图片来自互联网并增加了字符串 zEus,回传被窃数据的 Discord Webhook 配置文件中也可以找到该字符串。

攻击者通过 Minecraft 包传播窃密程序插图

插入图片的字符串

攻击者通过 Minecraft 包传播窃密程序插图1

Webhook 的全局名称字符串

感染链

受害者执行窃密程序时,会检查自身是否正在被分析。如果未被分析就会收集敏感信息并释放更多脚本文件使攻击更加灵活,恶意软件会在 C:\ProgramData 中创建文件夹来保存窃取的数据和恶意脚本文件。

攻击者通过 Minecraft 包传播窃密程序插图2

攻击链

攻击者通过 Minecraft 包传播窃密程序插图3

新增脚本

反分析

zEus 将计算机名称和当前运行的进程与黑名单进行比较,来检查是否正在被分析。

计算机名称黑名单如下所示:

WDAGUtilityAccount, Abby, Peter, Wilson, hmarc, patex, JOHN-PC, RDhJ0CNFevzX, kEecfMwgj, Frank, 8Nl0ColNQ5bq, Lisa, John, george, PxmdUOpVyx, 8VizSM, w0fjuOVmCcP5A, lmVwjj9b, PqONjHVwexsS, 3u2v9m8, Julia, HEUeRzl, BEE7370C-8C0C-4, DESKTOP-NAKFFMT, WIN-5E07COS9ALR, B30F0242-1C6A-4, DESKTOP-VRSQLAG, Q9IATRKPRH, XC64ZB, DESKTOP-D019GDM, DESKTOP-WI8CLET, SERVER1, LISA-PC, JOHN-PC, DESKTOP-B0T93D6, DESKTOP-1PYKP29, DESKTOP-1Y2433R, WILEYPC, WORK, 6C4E733F-C2D9-4, RALPHS-PC, DESKTOP-WG3MYJS, DESKTOP-7XC6GEZ, DESKTOP-5OV9S0O, QarZhrdBpj, ORELEEPC, ARCHIBALDPC, JULIA-PC, d1bnJkfVlH, QDAVNJRH

进程黑名单如下所示:

httpdebuggerui, wireshark, fiddler, vboxservice, df5serv, processhacker, vboxtray, vmtoolsd, vmwaretray, ida64, ollydbg, pestudio, vmwareuser, vgauthservice, vmacthlp, x96dbg, vmsrvc, x32dbg, vmusrvc, prl_cc, prl_tools, xenservice, qemu-ga, joeboxcontrol, ksdumperclient, ksdumper, joeboxserver

信息窃密

zEus 能够窃取大量信息,为每条被窃信息单独创建文本文件并保存到相应的文件夹中。被窃信息的文件夹位于 C:\ProgramData\STEALER,包括 PCINFO、IPINFO、HARDWARE、BROWSERS、STEAL、LDB 和 SESSION 等。

信息系统

zEus 会使用在线工具获取受害者 IP 地址的相关信息,并将结果以文本文件形式保存在 IPINFO 文件夹。zEus 获取的信息包括互联网服务提供商、城市经纬度等位置信息以及邮政编码,甚至还包括受害者是否正在使用代理服务器以及是否使用移动网络。

攻击者通过 Minecraft 包传播窃密程序插图4

保存数据

zEus 使用命令行程序与 PowerShell 代码收集硬件信息并将结果保存在 HARDWARE 文件夹,包括运行的进程、操作系统版本、产品密钥、硬件 ID、系统配置、安装的程序和 WiFi 密码。

浏览器

zEus 从浏览器(Chrome、Opera、Brave、Vivaldi、Edge、Firefox)的配置文件路径复制登录数据和用户配置文件,并将其存储在相应的文件夹中。

恶意软件从这些浏览器中获取登录数据的文件和密码的加密密钥,随后窃取 Cookie、历史记录、快捷方式与书签。

窃密

恶意软件可以从 Steam、osu!、Roblox、Growtopia、Discord 窃取登录数据。此外,zEus 还会在文件夹中检索 discord_backup_codes.txt。该文件中包含备份数据,可以帮助用户在丢失设备时进行双因子认证(MFA)。因此,zEus 窃密程序会尝试从文件的默认位置获取备份数据。

LDB

LDB 文件夹仅存储从 %appdata%\discord\Local Storage\leveldb复制 .ldb 文件。从这些文件中,攻击者可以提取包含账户和密码的 Discord Token,攻击者就可以用其登录受害者的账户。

Session

zEus 还会将各种数据都复制到 SESSION 文件夹,不仅是凭据信息,还有受害者相关信息。例如从 EpicGamesLauncher 的文件夹复制到 Logs 文件夹,其中包含有关 EpicGamesLauncher 的调试日志。此外,战网与美国艺电等游戏公司的文件夹也被攻击者盯上了。

攻击者通过 Minecraft 包传播窃密程序插图5

游戏与路径

zEus 还会将 KEYWORDSEARCHER.bat 和 Keyword.txt 放入 STEALER 文件夹中。批处理文件可以帮助用户在文件中搜索想要的关键字,找到文件后 STEALER 文件夹会被压缩为 STEALER.zip 文件并删除。

最后,zEus 整理信息并回传 STEALER.zip。窃取信息包括执行日期、用户名、计算机名称、处理器、反病毒软件、剪贴板内容、安装的 XBOX 游戏、加密货币、敏感文件。

zEus 窃密程序还会检查受害者是否使用以下加密货币:

Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, AtomicWallet, Guarda, Coinomi

Downloads 文件夹中检索包含以下关键字的文件:

2fa, mdp, motdepasse, mot_de_passe, login, seed, key, data, db, password, secret, account, acount, paypal, banque, metamask, wallet, code, exodus, memo, compte, token, backup, recovery

这些关键字都与登录有关,还有一些是法语关键字,意为密码、银行与账户。

攻击者通过 Minecraft 包传播窃密程序插图6

信息列表

释放文件

除了信息企窃取外,释放到 C:\ProgramData\{ComputerName}的脚本文件还会执行以下功能:

攻击者通过 Minecraft 包传播窃密程序插图7

文件功能

debugerkiller.bat、Screen.bat、RAT.bat 会立即执行,路径注册在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。为了避免引起怀疑,攻击者使用 Windows 系统文件和文件夹的名称作为键值。

攻击者通过 Minecraft 包传播窃密程序插图8

注册表键值

终止进程

zEus 窃密程序会释放 debugerkiller.bat 并隐藏其执行以继续终止任务管理器,将其设置为自动运行以确保屏幕锁定正常运行。

攻击者通过 Minecraft 包传播窃密程序插图9

debugkiller.bat 代码

发送截图

zEus 释放 Screen.bat 以保持每五秒向 webhook 发送一次屏幕截图,启动时自动执行并持续监视受害者。

聊天窗口

释放 CHATBOX.bat 以允许受害者向攻击者发送最多五个句子,就是通过 C&C 信道来执行的。

攻击者通过 Minecraft 包传播窃密程序插图10

聊天窗口

C&C 通信

zEus 释放 RAT.bat 以建立 C&C 通信,通过 onlinecontroler[.]000webhostapp[.]com 下载 COMMANDS.txt。如果指令不重复,则执行该指令并将结果写入 HISTORY.txt。执行的指令被发送到攻击者的 webhook,屏幕锁定和聊天窗口可以帮助攻击者进行故障排除。

攻击者通过 Minecraft 包传播窃密程序插图11

屏幕锁定消息

结论

zEus 窃密程序的攻击流程相对简单,但收集海量的信息,为后续攻击提供数据。用户一定要警惕从未知来源下载的文件,即使是最简单的软件包也能成为恶意软件的载体。

IOC

onlinecontroler[.]000webhostapp[.]com/

panel-controller[.]000webhostapp[.]com/ hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX hxxps[:]//discord[.]com/api/webhooks/1212821302671581224/L30ylYucowXO_rm7sUpdwA8DLbYet6NyvUsNV60EP1o1HnF-2M-UPsvatVGQY0ctO9Vk hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX hxxps[:]//discord[.]com/api/webhooks/1212821302671581224/L30ylYucowXO_rm7sUpdwA8DLbYet6NyvUsNV60EP1o1HnF-2M-UPsvatVGQY0ctO9Vk hxxps[:]//discord[.]com/api/webhooks/1212818346157015070/2v0xe2vrxFGv65MRE9qvICmsJw-5e_pq_28xscGybiY1ScEyEiSKMC_zFffr3KkuAimX hxxps[:]//discord[.]com/api/webhooks/1216834085205311708/2Rx-yUIHeCnuhuLskpz25Ghf-YWeP6Si6oiUSN4SMQYNkeJfVJiYNC4Xy_Oj0ZNQ1qTC hxxps[:]//discord[.]com/api/webhooks/1117543783714787458/U_DdPjJm7rM7Q2asPiMISLTrbd3oGw3oVQ25_XU37HCmM6QIQ804SJAH4_h0AT2Vr_cv hxxps[:]//discord[.]com/api/webhooks/1191890861622050848/iJVVE3x3xilf4TeZNiERydXZPF5TRE1UhM4Ew06uHn95b0k0KDViw3YnhdynrXn17OKa hxxps[:]//discord[.]com/api/webhooks/1215746939635892344/CmKTGdIvizEpR4FgvvLJm3Bcbjg3AKlNGlwd2S-yIO-GRBXZZbn0OwG39kKnx7mDur4T hxxps[:]//discord[.]com/api/webhooks/1223978005127364659/3E0hHtDqDOHQJBaG8ifspilk2mY8E1s4KeQY36inBq-tq5q6aZex8U0YJVxVlloFJj5X hxxps[:]//discord[.]com/api/webhooks/1224075124005929020/kA4IFZrIXBl_d1Y4I0sMHhF1cZzXvC-yEo5HzSk6Jzq_I0k1PCc1idn4FmqSC2UMljdD aabfbef31ab073d99c01ecae697f66bbf6f14aa5d9c295c7a6a548879381fb24 c9687714cf799e5ce9083c9afa3e622c978136d339fc9c15e272b0df9cd7e21c d9d394cc2a743c0147f7c536cbb11d6ea070f2618a12e7cc0b15816307808b8a c2c8a7050b28d86143f4d606a6d245b53c588bc547a639094fce857962246da4 be9ea302bcfb52fbfdf006b2df8357388cd4c078059aabc5b5928676c3361e50 9d3409852348caa65d28e674008dd6bb986eed4fb507957c7a8b73a41e00be70 b6e8b612e99c54dd98af1756f7c9b8a8c19e31ed9b2836878c2a5144563ff1b2 8a2f6d5f6cf7d1a7534454e3c3007337b71d7da470e86f7636eb02d68b2db8cc df6156fdbbcc7b6f8c9cb4c5c1b0018fc3f1e1ca7d949b5538ec27dc86d026a4 5840f3e43a0c635be94b5fbf2e300d727545371b582361a52682b4a9e08bcebd 51ede75315d858209f9aa60d791c097c18d38f44b9d050b555ff1f4de0ae672d d1865d2aaf11e3f8bccefe9c4847510234f14aaa5378ce9e8e97553537cf2ca1 9ba19d614af029c3c198b576ccdf1de87d80ac14b12103e8a15376229a2a7860 6063c8285e13d10eabbe363e2ab0d8748bcd595b470698e0cffee31ba255a566 d1a18b436f947611914ced09e4465b49807cec4f3a62b0973c9017b6d82c9f70 1cdd580176eeb4342a0333b50454da061e473358274e6e543df1411186c12042 ed59a797521db06abdf4c88dad7b1666e5978aaa6670a5952a55b7e11f7b790e 2ceae724f0e96e2d8c47296dd1e73ac592e22ee3288eabf11c8d039c6d6d4f8b 03983b56d8b1a6cc43109f6cd67a13666367595a2ea07766127cb1fe4d4bb1a5 9940da9d02d29489c3e26d27feb15b6f4bbf49547b962592125441917c952f12 fbf967295dac00f1e9cb67e9a40b6729b003dd12cf022eb15d626df09716442d 4e0a96ab28570936d095ac3910dcd239c7ceeb2b38a070468404584f8b902dd1 20009fd157a898ad6d50fae6b8127056c5b1f50e31f90f01d2e6c13e6b4c38f8

参考来源

Fortinet

相关文章:

  1. Windows窃密木马分析,你还会轻易下载Windows破解软件吗?
  2. 通过GitHub传播窃密木马的攻击活动分析
  3. 端口未授权总结(外部打点)
  4. 攻防演练 | 安全编排自动化响应SOAR项目记录
  5. XP3引擎逆向探究

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
网络安全
0 0

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论