ESET發現全球最大軟體下載站CNET無意中託管了用於竊取比特幣的木馬化應用程式

下一個故事

Created: 2018-04-12 03:25:05

在如今的網路時代,當您向資安專家尋求一些基本技巧以確保網路安全時,他最有可能會告訴您的方法之一就是從合法來源下載軟體,不過即使是這樣一個基本而又值得肯定的建議可能也無法幫助您避免惡意軟體的困擾。

全球資安大廠ESET的研究人員近期內在download.cnet.com上發現了三款木馬應用,而根據Alexa網站訪問量排名,這可是全球訪客最多的軟體發佈網站之一(排名第163位)。

來源於一名網名為「Crawsh」的門羅幣投資者發表的一篇論壇帖子….



當Crawsh試圖將他的門羅幣錢包地址複製貼上到另一個地方時,他被提示「地址無效」,這引起了Crawsh的注意,他立馬開始了檢查並認為最大的可能是由於惡意軟體所導致的。

事實證明,他是對的,Crawsh複製貼上的錢包地址,在進入剪貼簿時遭到了惡意軟體的攔截,並被攻擊者的硬編碼比特幣錢包地址所取代。對於Crawsh來說是幸運的,因為惡意軟體似乎只針對了比特幣,並不適用於Crawsh試圖進行的門羅幣交易。

但很多其他的受害者可沒有這麼幸運,他們感染了同一惡意程式,無意間複製貼上了自己的比特幣地址,從而導致迄今為止攻擊者已合計收入8.8個比特幣。按照2018年3月13日的市價來換算,其總額約為80,000美元。Crawsh發表的帖子引起了ESET研究人員的注意,他們決定看看網路上是否有人遭遇了同樣的事情。

他們使用攻擊者的硬編碼比特幣錢包地址在谷歌上進行搜尋,一些其他受害者很快被發現,在一篇部落格文章中,作者的比特幣錢包地址被替換成了Crawsh所遇到的攻擊者的硬編碼比特幣錢包地址,這表明這篇部落格文章的作者同樣成爲了比特幣偷竊軟體的受害者。

(見下圖) 




傳播途徑

研究人員發現,令Crawsh染毒的源頭是,他從download.com上下載的一款名為Win32 Disk Imager的內置木馬軟體,自2016年5月2日以來,該木馬軟體一直棲身於此網站,

該木馬被檢測為MSIL/TrojanDropper.Agent.DQJ的變種之一,今年3月上旬此木馬從CNET網站的下載數量為311次,合計下載總數為4500次。


後來在調查過程中還發現,Win32 Disk Imager並非download.com上所刊登的唯一一款內置木馬軟體,為來自同一作者的至少還有其他兩款軟體。第一款名為CodeBlocks,已被CNET刪除,內含同一木馬機制MSIL/ClipBanker.DF。CodeBlocks是一款知名的開源整合式開發環境包(IDE),被很多C/C++開發人員所使用。



另一款則是MinGW-w64,在調查之初尚可下載,其中包含多種惡意機制,既有比特幣竊取木馬也有病毒。MinGW基本上就是GCC(GNU免費軟體彙編套裝)的Microsoft Windows移植版。


兩款軟體下載量的統計資料,詳見下圖(直接從download.com網站獲取的統計資料),在被CNET下架後,CodeBlocks近期下載量為零。確切下架日期無從知曉,但根據資料顯示,下架時間約為2017年3月份前後。

 


在接到ESET通知後,CNET即迅速從其官網上移除了上述內置木馬軟體。


機制分析

木馬釋放(MSIL/TrojanDropper.Agent.DQJ)

內置木馬軟體的第一階段是利用非常簡單的釋放工具,首先從資源包中提取相應應用軟體(Win32DiskImager、CodeBlocks、MinGW)的合法安裝包及惡意載荷,將兩個檔存儲在%temp%資料夾中並執行。


惡意程式在剪貼板中替換錢包(MSEL/ClipBanker.DF)
惡意載荷在簡單程度上與釋放工具非常接近 – 程式將自身複製到%appdata%\Dibifu_8\go.exe路徑,並在註冊表中添加運行鍵值,以確保持續載入。


剪貼板中替換比特幣地址,是通過上圖中簡單的4行代碼實現的,即通過規則運算式查找比特幣位址,並將其替換為攻擊者採用硬編碼形式寫入的錢包位址:1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj。

攻擊者並未費太多精力去隱藏其用意,因為即便是釋放工具和ClipBanker的調試符路徑都使其本意昭然若揭。據我們判斷,“SF to CNET”代表SourceForce to CNET,因為所有三款應用程式都在原始程式碼套裝程式中不存在惡意進程。

C:\Users\Ngcuka\Documents\V\SF to CNET\Btc Clipboard Rig\WindowsFormsApplication1\obj\x86\Release\WindowsFormsApplication1.pdb


還有幾項攻擊特徵,值得受害者注意。首先是,在暫存檔案夾中,會將惡意載荷和木馬套裝程式以y3_temp008.exe及Win32DiskImage_0_9_5_install.exe名義釋放並執行。


替換剪貼板中錢包地址的另一款惡意程序(Win32/ClipBanker.DY)

該惡意載荷由內置木馬的MinGW-w64應用軟體釋放。這是略微更複雜的一款變種,使用了類似的常規錢包搜索運算式:


此外,其中還含有採用資源加密形式的更多惡意元件,配套攻擊者名下約達3500個比特幣位址,以金鑰之中的前三個字元為基礎,用以通過類似地址替換受害者的錢包地址(不完整截圖)。

該比特幣竊取工具所內置的更多惡意載荷,也都有PDB路徑。其中之一就是:
C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb。用戶名與第一款比特幣竊取工具PDB路徑中的用戶名相同。至此可以認定,所有上述惡意程式樣本均由同一人開發。

如果您懷疑自己已感染此類木馬病毒,那麼需要手動進行以下步驟:

  • 從下載檔案夾路徑中,刪除已下載的安裝包win32diskimager.exe(SHA1:0B1F49656DC5E4097441B04731DDDD02D4617566)、codeblocks.exe(SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB)、 mingw-w64-install.exe(SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918);

  • 刪除%appdata%\dibifu_8\資料夾中的可執行檔(SHA1:E0BB415E858C379A859B8454BC9BA2370E239266);

  • 從%temp%\資料夾中刪除y3_temp008.exe(SHA1:3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3、 C758F832935A30A865274AA683957B8CBC65DFDE );

  • 從註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中,刪除ScdBcd鍵值。

ESET在調查過程中通知了CNET,他們也迅速從官網上刪除了內置木馬的應用軟體,避免了木馬的進一步傳播。

 

入侵指標:

內置木馬的應用程式:

win32diskimager.exe0B1F49656DC5E4097441B04731DDDD02D4617566MSIL/TrojanDropper.Agent.DQJ 木馬
codeblocks.exe7242AE29D2B5678C1429F57176DDEBA2679EF6EBMSIL/ClipBanker.EY 木馬
mingw-w64-install.exe590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918MSIL/TrojanDropper.Agent.DQJ 木馬


ClipBankers木馬:

mingw-w64 載荷 #1BE33BDFD9151D0BC897EE0739F1137A32E4437D9Win32/ClipBanker.DY 木馬
mingw-w64 載荷 #22EABFFA385080A231156420F9F663DC237A9843BWin32/ClipBanker.DY 木馬
mingw-w64 載荷 #37B1E9A6E8AF6D24D13F6C561399584BFBAF6A2B5Win32/ClipBanker.DY 木馬
codeblocks.exe 載荷E65AE5D0CE1F675962031F16A978F582CC67D3D5MSIL/ClipBanker.AB 木馬
win32diskimager.exe 載荷E0BB415E858C379A859B8454BC9BA2370E239266MSIL/ClipBanker.DF 木馬

 
惡意軟體無所不在,ESET資安專家建議您安裝專業有品質的防毒軟體,以便自動檢測並刪除木馬檔。針對剪貼板替換性攻擊的最有效應對措施是,在交易過程中務必仔細核對所複製的地址!

 

原文出處:
https://www.welivesecurity.com/2018/03/14/stealing-bitcoin-download-com/