“窃密寄生虫”木马群发邮件传播，危害北上广等地众多企业

一、背景

腾讯安全御见威胁情报中心检测到以窃取机密为目的的钓鱼邮件攻击，主要危害我国外贸行业、制造业及互联网行业。黑客搜集大量待攻击目标企业联系人邮箱，然后批量发送伪装成“采购订单”的钓鱼邮件，邮件附件为带毒压缩文件。若企业用户误解压执行带毒附件，会导致多个“窃密寄生虫”（Parasite Stealer）木马被下载安装，之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。

御见威胁情报中心根据一个窃密木马PDB信息中包含的字符“Parasite Stealer”(窃密寄生虫)，将其命名为Parasite Stealer（窃密寄生虫）。

据腾讯安全御见威胁情报中心的监测数据，受Parasite Stealer（窃密寄生虫）病毒影响的地区分布特征明显，主要集中在东南沿海地区，其中又由以广东，北京和上海最为严重。这些地区也是我国外贸企业和互联网企业相对密集的省市。

此次攻击影响约千家企业，从行业分布来看，Parasite Stealer（窃密寄生虫）病毒影响最多的是贸易服务、制造业和互联网行业。

二、详细分析

“窃密寄生虫”（Parasite Stealer）木马的主要作案流程为：通过邮件群发带毒附件，附件解压后是伪装成文档的Jscript恶意脚本代码，一旦点击该文件，脚本便会拷贝自身到启动项目录，然后通过写二进制释放木马StealerFile.exe。StealerFile.exe进一步从服务器下载名为“q”,”w”,”e”,”r”,”t”的多个木马盗窃中毒电脑机密信息，并将获取到的信息通过FTP协议上传到远程服务器。

钓鱼邮件内容如下，附带的邮件附件名为K378-19-SIC-RY - ATHENA REF. AE19-295.gz。

附件解压后为Jscript脚本文件K378-19-SIC-RY - ATHENA REF. AE19-295.js，该文件执行后会立即拷贝自身到全局启动目录下。

Jscript脚本进一步通过写二进制释放木马文件StealerFile.exe，StealerFile.exe会使用Word.exe程序的图标来进行伪装。

随后StealerFile.exe从服务器依次下载q.exe，w.exe，e.exe运行，若判断系统为64位还会下载r.exe，t.exe运行。

q.exe（64位对应t.exe）为密码窃取程序。chrome浏览器加密后的密钥存储于%APPDATA%\..\Local \Google\Chrome\User Data\Default\Login Data下的一个SQLite数据库中，使用CryptProtectData加密。首次登陆某个网站时，Chrome会询问是否记住密码，若选择是则浏览器将密码保持到SQLite数据库中。木马从数据库中抽取出action_url，username_value 和password_value，然后调用Windows API中的CryptUnprotectData函数来破解密码。

64位程版本t.exe文件PDB为

E:\Work\HF\KleptoParasite Stealer 2018\Version 6\3 - 64 bit firefox n chrome\x64\Release\Win32Project1.pdb

Firefox登录密码加密时使用的Signons.sqlite和key3.db文件均位于%APPDATA%\Mozilla \Firefox\Profiles\[random_profile]目录下的sqlite数据库中。木马使用NSS的开源库中的函数来破解加密所使用的SDR密钥，进而破译Base64编码的数据。

w.exe目前无法下载，e.exe的功能为获取当前计算机所使用的外网IP地址，并将其添加到待上传文件DXWRK.html中。

r.exe为邮箱密码窃取程序。通过读取

"Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook\\9375CFF0413111d3B88A00104B2A6676"等位置的注册表来获取Outlook保存的密码信息。

待下载的各个模块完成密码搜集工作后，StealerFile.exe尝试连接到指定的FTP服务器，准备上传机密信息文件，代码中保存有5组地址和登录所需账号密码可供登录使用。

（为防止受害者信息泄露，做打码处理）

FTP服务器地址：

"ftp.secur******.com"

"ftp.dri******.com"

"45.137.***.95"

"ftp.an******.com"

"fine.tec******"

登录用户名：

"admi*****"

"insan*****on.com"

"lenfi**********net.com"

"a$%2*****23"

"8347**********1"

登录密码：

"ad******"

"%*h#$j#******"

"W@T9$$******"

"1pass4ll@let******"

连接服务器成功后，通过调用FtpPutFileA函数将存有账号密码等机密信息的本地文件\%Temp%\DXWRK.html上传为服务器指定文件<random>_.htm。

我们利用木马中的账号密码登录到其中一个FTP服务器，可以看到其保存的文件列表如下。

下载某个服务器上的.htm文件，其内容为用户使用Firefox，Chrome浏览器登录某些网站时使用的用户名和密码等信息。

三、安全建议

1、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描；

2、建议升级office系列软件到最新版本，对陌生文件中的宏代码坚决不启用；

3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户启用腾讯电脑管家的安全防护功能；

4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统;

IOCs@Parasite Stealer

伪造的发件邮箱：

ayp@hct-battery.com

sales5@amotach-cn.com

admin@ticctv.com

marketing@med-linket.com

wy-sh@szzhenjia.com

g-factory@paiying.com.tw

fm@saspg.com

hoteamsoft@hoteamsoft.com

zhong.fei.ran@tateyama.com.cn

info@space-icecream.com

chu.yi.ye@tateyama.com.cn

su.jia.min@tateyama.com.cn

cnsy@quartzglasschina.com

admin@tingyimould.com

overseas_sales@waxpi.com

zhong.fei.ran@tateyama.com.cn

info@tongyongfans.com

liuxiong@xinteenergy.com

chu.yi.ye@tateyama.com.cn

g-factory@paiying.com.tw

wangjc96@tsinghua.org.cn

zhong.fei.ran@tateyama.com.cn

pzg@teccable.com

zsh@tgc.edu.cn

liucong@mail.cmec.com

baiyang@baiyangcy.com

xiongyi@yanshun-sh.com

su.jia.min@tateyama.com.cn

guokai@ruiduo.net.cn

wy-sh@szzhenjia.com

olive@ykxfwa.com

MD5

b213bf2fb08b6f9294e343054c8231f4（K378-19-SIC-RY - ATHENA REF. AE19-295.gz）

67eabc565db23cf5a965309eaa62228d（K378-19-SIC-RY - ATHENA REF. AE19-295.js）

a5fe827cf2bc87008588f633a5607755（StealerFile.exe）

15a02f0d086df6a9082667635d524e92（q.exe）

499de77bc4d8d91a62e824ce40b306bd（e.exe）

16690c337d1d78ac18f26926c0e0df7b（r.exe）

1cd8b31b1aef17f1901db887b7de6f2d（t.exe）

URL

http[:]//drajacoffee.com/images/produk/t

http[:]//drajacoffee.com/images/produk/q

http[:]//drajacoffee.com/images/produk/e

http[:]//drajacoffee.com/images/produk/r

http[:]//drajacoffee.com/images/produk/w

ftp[:]//ftp.sec*****g.com

ftp[:]//ftp.dr*****.com

ftp[:]//45.137.***.***

ftp[:]//ftp.a*****.com