这段脚本借助Powershell从hxxp://185.25.51.133/_files/file1.exe,hxxp://185.25.51.133/_files/file2.exe和hxxp://185.25.51.133/_files/file3.exe下载三个文件到计算机中执行,这些文件同样经过多层混淆,在下文中将用file1,file2和file3表示这三个文件。
file1是个窃密木马,窃取用户计算机中保存的密码、虚拟货币钱包等敏感信息,包括Electrum钱包、Skype本地存储、Telegram账号密码、Steam账号密码和屏幕截图。这些信息将被发送到hxxp://system-check.xyz/index.php。
图6 file1窃取敏感信息代码截图
file2是一个键盘记录器,会记录用户所有的键盘输入并发送到hxxp://wqaz.site/log/index.php。
图7 file2发送键盘输入代码截图
file3是一个Hidden VNC远控木马。Hidden VNC是在受害用户计算机中创建一个新的Windows桌面以隐藏黑客对计算机鼠标、键盘操作的技术,这项技术被各大流行银行木马所使用。File3也是使用Hidden VNC技术的远控木马,C&C为hxxps://185.25.51.152:443。
图8 file3启动Hidden VNC连接代码截图
攻击不受地域限制,站点疑似已被黑客控制
此次攻击波及三十多个国家和地区,基本可以排除由于地区网络劫持导致下载链接被替换的可能,因此此次攻击更有可能是一起供应链污染攻击。
图9 攻击影响范围,颜色越深的国家或地区受害计算机越多
而在攻击中还出现了更换劫持指向的域名的情况,这更证明了黑客已经控制了VSDC官网并能够随时将下载链接替换为其他地址。从当前的攻击来看,黑客还只是在特定时间对下载链接进行劫持,并未进行持续大规模劫持,不排除黑客在未来发起更大规模攻击的可能。
IOC
url
hxxp://5.79.100.218/_files
hxxp://drbillbailey.us/tw
hxxp://185.25.51.133/_files/file1.exe
hxxp://185.25.51.133/_files/file2.exe
hxxp://185.25.51.133/_files/file3.exe
C&C
hxxp://system-check.xyz/index.php
hxxp://wqaz.site/log/index.php
hxxps://185.25.51.152:443
MD5
10634c295fe55fede571d3a179553131
79113c6fbafa1f0ca67f41189c0b7474
1b804f4e8d6647314532acee66890260
460cd7630f585a01a759826101fb974b
閱讀更多 360安全衛士 的文章