最近,tinder安全团队截获了“Socelars”病毒,它正在通过KMSpico、Adobe Photoshop等40多个软件破解工具进行传播。该病毒会利用被感染用户facebook的临时登录凭证,窃取用户目前绑定的信用卡账户信息。
一.概述
在这次截获的样本中,病毒被植入KMSpico、WindowsLoader等40多种破解工具中。带病毒的破解工具具体列表如下图所示。一旦用户下载并运行携带病毒的软件,就会激活病毒。
“Socelars”病毒最早出现于2017年8月,至今仍在活跃,并不断更新变种。
病毒入侵电脑后,会获取用户facebook网站的登录凭据,然后利用会话劫持获取当前用户绑定的信用卡账号、好友信息等隐私数据。
因为国内外绝大多数安全厂商都会将破解工具识别为病毒,不管它是否真的包含恶意代码。所以很多用户在下载使用破解工具时,会认为安全软件的报毒是虚惊一场,直接关闭安全软件,或者选择信任,形成心理盲区。一些病毒制作者正是利用这种心理潜入安全软件的信任名单。我们之前报道的Justler病毒也是用类似的方法来躲避安全软件的查杀。
“火绒安全软件”通过基于虚拟沙箱的反病毒引擎来报告病毒,只有具有真实病毒行为的软件才会被报告。因此,建议用户对举报的软件保持警惕。最新版本的“火绒安全软件”可以查杀“Socelars”病毒。同时,建议大家通过官网下载软件,避免被病毒攻击。
第二,详细分析
“Socelars”盗号木马主要由三部分组成,其病毒模块devenv.exe(Trojan downloader/socel ars . A . A)是一个下载木马,负责下载安装另外两个盗号模块winhttp.dll(Trojan Spy/socel ars。c)和XService.dll(特洛伊间谍/SOCELARS。b)。
这两个黑客模块会查询浏览器Cookie等文件中存储的facebook相关登录凭证,然后利用会话劫持的攻击技术获取当前用户facebook账户的支付信息和好友信息,并发送到CC服务器。“Socelars”盗号木马完整的病毒逻辑如下图所示:
“Socelars”盗号木马实现过程
以下模块逐一分析:
devenv.exe
该病毒伪装成微软VisualStudio 2010的主程序devenv.exe,其文件属性如下图所示:
devenv.exe的文件属性
当病毒运行时,它会判断当前系统中是否安装了GoogleChrome浏览器。如果安装了,它会读取其安装路径InstallLocation,然后确定该路径下chrome.exe程序的编译版本,并从远程服务器下载相应版本的病毒动态库winhttp.dll到该路径。因为chrome.exe会打电话给winhttp.dll,所以该病毒利用图像劫持技术来执行存储在DllEntryPoint中的恶意代码。相关的代码逻辑如下图所示:
利用图像劫持技术加载winhttp.dll
使用火绒剑观察winhttp.dll的装载,如下图所示:
使用火绒剑观察winhttp.dll的装载情况。
接下来,病毒将确定病毒文件% user profile % appdatalocalxservicexservice.dll是否存在。如果不存在,它将从远程服务器下载动态库,并调用其InstallSvc导出函数将其注册为名为WinService的系统服务。主要病毒逻辑,如下图所示:
下载并执行XService.dll。
winhttp.dll
Google Chrome浏览器运行时,DllEntryPoint中的病毒代码是通过Winhttp.dll图像劫持技术加载的。为了不影响程序的正常运行,动态库会在运行后加载正常的winhttp.dll,将其导出函数动态映射到正常的系统函数中,避免程序执行时出错。以WinHttpOpen为例,映射它前后的代码,如下图所示:
映射病毒WinHttpOpen函数地址
所以chrome程序运行后,使用火绒剑可以观察到chrome.exe进程中有两个winhttp.dll模块,安全状态为“未知文件”的模块是病毒模块,如下图所示
该病毒将获取当前进程的完整映像,并确定当前映像是否为chrome.exe。如果是,它会创建一个互斥体{ 284 B2 f0a-c0ff-6d 76-903 f-71 C3 fc 854 c 92 },防止病毒多次运行。相关代码,如下图所示:
判断当前进程并创建互斥体。
然后创建一个线程spy_main:
线程会通过SQL语句查询% appdata % localgooglechromeuser Data default目录下的cookies文件和登录数据文件的名称(用户名)和host_key(域名信息)。查询逻辑如下图所示:
查询Cookie文件中的敏感信息
不同的配置文件及其对应的SQL语句:
通过SQl语句查询登录数据中的敏感信息;
使用SQL语句查询登录数据中的信息
用SQL语句查询cookies文件中的敏感信息;
查询cookies文件中的敏感信息
当病毒获得Cookie中的c_user(用户ID)和xs(认证令牌)后,就可以劫持facebook网站的会话,以Cookie所有者的身份访问服务器,获取用户的支付方式、公共主页和好友列表等敏感信息。相关代码,如下图所示:
代码片段
以获取支付信息为例。下图显示了该病毒利用会话劫持来请求当前用户的facebook支付信息:
劫持会话的方式要求facebook支付信息页面。
下图显示了请求的配置文件:
配置文件
该病毒会匹配“credit_cards”(信用卡账号)和“paypals”的信息,相关代码如下图所示:
匹配paypals等信息。
当病毒获取到所需的敏感信息后,会将数据构造成json文件格式,然后发送到CC服务器(HXXP ://API . jiekou 666 . com/API/send)。相关代码,如下图所示:
代码片段
向CC服务器发送敏感数据,如下图所示:
这种会话劫持的代码逻辑与XService.dll Facebook的劫持逻辑相同。
XService.dll
病毒动态库下载并注册为系统服务,长期驻留在系统中。代码逻辑如下图所示:
将病毒注册为系统服务
该病毒会查找存储在相关目录中的MicrosoftEdge和Internet Explorer浏览器的Cookie文件,其搜索逻辑类似。以微软Edge为例,其对Cookie文件的搜索逻辑如下图所示:
按病毒查找Edge浏览器Cookie文件。
不同浏览器中的Cookie文件目录:
之后,该病毒将使用与winhttp.dll相同的会话劫持技术,获取当前用户facebook账户中保存的支付信息。
三。附录
样本SHA256包含在本文中:
暂无讨论,说说你的看法吧
