廣告軟件包正在安裝名為Pirate Chick的VPN軟件,然後該軟件連接遠程服務器下載和安裝惡意有效負載,例如AZORult密碼竊取木馬。
由於廣告軟件包需要看起來合法,因此它們需要擁有合法網站具有隱私政策和用戶協議,還要提供相應的優惠。
Pirate Chick VPN就是這種情況,該網站看起來與其他VPN網站一樣,可以免費試用三個月,不需要信用卡。
Pirate Chick網站
可執行文件也很令人信服,因為它們使用的是一家英國公司ATX International Limited的證書。然而研究人員發現大多數已簽名的惡意軟件與英國企業相關聯。
MalwareHunterTeam分析了發現的Pirate Chick樣本,認為這是一種偽裝成合法VPN軟件的木馬,在後臺下載並安裝惡意軟件payload。
隱藏的惡意payload
當執行Pirate Chick VPN的安裝程序時,它會將payload下載安裝到%Temp%文件夾並執行它。以前,這個payload是AZORult密碼竊取木馬。現在payload是進程監視器,它可以在進行另一個活動時充當臨時填充程序。
首次執行時,安裝程序會將一系列字符串組合到進程名稱中,例如ImmunityDebugger、Fiddler,Wireshark、Regshot和ProcessHacker。然後檢查正在運行的進程列表,如果檢測到其中一個進程,就不會安裝惡意軟件payload。
進程檢查字符串
然後連接到https://www.piratechickvpn.com/collectStatistics.php,它根據IP地址檢查訪問者的國家/地區。如果用戶來自俄羅斯、白俄羅斯、烏克蘭或哈薩克斯坦,也不會安裝惡意軟件payload。
檢查用戶是否來自俄語國家
接下來,它檢查用戶是否在Vmware、VirtualBox或HyperV下運行。如果是,也不會安裝惡意軟件payload。
如果都不是,它將從https://www.piratechickvpn.com/wohsm.txt下載文件,對其內容執行字符替換,然後base64解碼該字符串。
這將下載的文件轉換為可運行的可執行文件,將其保存到%Temp%\wohsm.exe並執行。如前所述,此可執行文件目前是Sysinternals Process Monitor工具,但之前是AZORult。
替換下載文件中的字符並執行
最後, Pirate Chick VPN的主要安裝程序出現了。
Pirate Chick安裝
安裝VPN後,會出現一個啟動頁面,要求用戶註冊。
Pirate Chick VPN註冊
目前,此註冊頁面已不復存在,但表明了特洛伊木馬偽裝成VPN程序同時安裝惡意payload的方式。
通過廣告軟件包分發
基於Any.Run會話,研究人員發現Pirate Chick VPN是通過偽造的Adobe Flash播放器和廣告軟件包進行分發的。
廣告軟件包,特別是俄羅斯之外的廣告軟件包,越來越喜歡打著“優惠”的旗號來欺騙受害者。
過去,廣告軟件包會安裝廣告軟件和不需要的擴展程序,但現在安裝礦工、勒索軟件、竊取密碼的特洛伊木馬以及廣告點擊軟件。
從Any.Run流程圖中可以看到,piratechickvpnsetup.exe安裝了vpnclientupdate.exe,即AZORult。
Pirate Chick VPN目前沒有安裝密碼竊取木馬,但會下載並運行混淆的Procmon.exe副本。但是,攻擊者可以輕鬆地將其切換為他們希望安裝的任何惡意軟件。
本文作者:Gump,轉載自:http://www.mottoin.com/detail/3957.html
閱讀更多 Whitezero 的文章
