分析新型恶意加密货币软件—Razy
本帖最后由 默小白 于 2019-1-31 14:40 编辑转自:https://xz.aliyun.com/t/3984
原文地址:https://securelist.com/razy-in-search-of-cryptocurrency/89485/
去年,我们发现某种恶意软件会在受害者的计算机上安装恶意扩展程序并且感染已安装的扩展程序。被感染后,这些扩展插件的会被禁用完整性检查并且浏览器的自动更新功能会被关闭。卡巴斯基实验室的防护产品将恶意程序检测为一个可执行文件`Trojan.Win32.Razy.gen`,此程序通过网站上的广告进行传播,并以合法软件为幌子从免费的文件托管服务处进行分发。
Razy有多种用途,其主要与窃取加密货币有关。 它的主要工具是脚本main.js,它具有以下功能:
- 在网站上搜索货币钱包的地址,并用攻击者的钱包地址进行替换
- 欺骗QR码,并将其图像指向钱包
- 修改用于交换加密货币的网页
- 欺骗Google和Yandex的搜索结果
#### 感染详情
Trojan Razy与Google Chrome,Mozilla Firefox和Yandex浏览器虽然是相互“兼容”的,但每种浏览器类型都有不同的入侵方案。
#### Mozilla Firefox
对于Firefox,木马会安装名为“Firefox Protection”的扩展程序,其ID为`{ab10d63e-3096-4492-ab0e-5edcf4baf988}` (文件夹路径为: `“%APPDATA%\Mozilla\Firefox\Profiles\.default\Extensions\{ab10d63e-3096-4492-ab0e-5edcf4baf988}”`)。
为了能够使恶意代码正常运行,Razy对以下文件进行了操作:
- “%APPDATA%\Mozilla\Firefox\Profiles.default\prefs.js”,
- “%APPDATA%\Mozilla\Firefox\Profiles.default\extensions.json”,
- “%PROGRAMFILES%\Mozilla Firefox\omni.js”.
#### Yandex浏览器
木马对文件`%APPDATA%\Yandex\YandexBrowser\Application\\browser.dll`进行操作用以进制浏览器的完整性检查。 它重命名文件`browser.dll_`并将其保留在同一文件夹中。
之后软件会禁用浏览器更新,并创建注册表项`HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser\UpdateAllowed” = 0 (REG_DWORD)`。
然后将扩展名`Yandex Protect`安装到文件夹`%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\acgimceffoceigocablmjdpebeodphgc\6.1.6_0`中。 ID 为`acgimceffoceigocablmjdpebeodphgc`对应于Chrome的合法扩展名`Cloudy Calculator`,其版本为6.1.6_0。 如果此扩展程序已安装在Yandex浏览器中的用户设备上,则会被恶意`Yandex Protect`替换。
#### 谷歌浏览器
Razy编辑文件`%PROGRAMFILES%\Google\Chrome\Application\\chrome.dll`以禁用扩展程序的完整性检查。 它重命名原始`chrome.dll`文件为`chrome.dll_`并将其保留在同一文件夹中。
它会创建以下注册表项以禁用浏览器的更新操作:
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\AutoUpdateCheckPeriodMinutes” = 0 (REG_DWORD)
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\DisableAutoUpdateChecksCheckboxValue” = 1 (REG_DWORD)
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\InstallDefault” = 0 (REG_DWORD)
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\UpdateDefault” = 0 (REG_DWORD)
我们遇到过感染了不同Chrome扩展程序的情况。 尤其是:`Chrome Media Router`是基于`Chromium`浏览器中具有相同名称的服务组件。 它在安装了Chrome浏览器的设备上出现,但缺未显示在已安装的扩展程序列表中。 在感染期间,Razy修改了`Chrome Media路由器`扩展程序所在文件夹的内容:`%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm`。
#### 脚本详情
无论目标浏览器是何类型,Razy都将以下脚本添加到包含恶意脚本的文件夹中:`bgs.js,extab.js,firebase-app.js,firebase-messaging.js和firebase-messaging-sw.js`。 manifest.json文件是在此文件夹中创建或被覆盖以确保恶意软件能够调用这些脚本。
脚本`firebase-app.js,firebase-messaging.js和firebase-messaging-sw.js`是合法的。 它们属于Firebase,而此平台用于向恶意玩家的Firebase帐户发送统计信息。
脚本`bgs.js和extab.js`是恶意的,并在工具`obfuscator.io`的帮助下进行模糊处理。 前者将统计信息发送到Firebase帐户,而后者(extab.js)将参数`tag =&did =&v_tag =&k_tag =`的脚本`i.js`插入到用户访问的页面中。
在上面的示例中,脚本i.js是从Web资源`gigafilesnote [.] com(gigafilesnote [.] com/i.js?tag =&did =&v_tag =&k_tag =)`处分发的。 在其他情况下,在域`apiscr [.] com,happybizpromo [.] com和archivepoisk-zone [.] info`中同样能够检测到类似的脚本。
脚本i.js会修改HTML页面,之后插入广告和视频,并将广告添加到Google搜索结果中。
感染的主要手段是调用`main.js`对用户访问的页面添加了对脚本的调用。
主而这个脚本主要被分成一下四个地址:
- Nolkbacteria[.]info/js/main.js?_=
- 2searea0[.]info/js/main.js?_=
- touristsila1[.]info/js/main.js?_=
- solkoptions[.]host/js/main.js?_=
脚本main.js不会被混淆,并且可以从函数名称中看到它的功能。
上面的屏幕截图显示了函数`findAndReplaceWalletAddresses`的情况,它搜索比特币和以太坊钱包,并用攻击者钱包的地址替换它们。 值得注意的是,此功能几乎适用于除Google和Yandex域名以外的所有页面,以及`instagram.com和ok.ru`等热门域名。
指向钱包的QR码图像也会被替换。 当用户访问网站资源`gdax.com,pro.coinbase.com,exmo。*,binance。*`或在网页上检测到具有`src ='/res/exchangebox/qrcode /'`的元素时,会发生替换操作。
除了上述功能外,main.js还修改了加密货币交易所EXMO和YoBit的网页。 以下脚本调用将被添加到页面代码中:
- /js/exmo-futures.js?_= – when exmo./ru/ pages are visited
- /js/yobit-futures.js?_= – when yobit./ru/ pages are visited
其中一个域是`where is one of the domains nolkbacteria[.]info, 2searea0[.]info, touristsila1[.]info,或者archivepoisk-zone[.]info.`
这些脚本会向用户显示一些关于交易所中与“新功能”相关的假消息,并提供以高于市场价格销售加密货币的消息。 换句话说,用户被说服将钱转移到攻击者的钱包中。
`Main.js`还修改了`Google和Yandex`搜索结果。 如果搜索请求与加密货币和加密货币交换相关联,则会将伪造的搜索结果添加到页面中:
- /(?:^|\s)(gram|телеграм|токен|ton|ico|telegram|btc|биткойн|bitcoin|coinbase|крипта|криптовалюта|,bnrjqy|биржа|бираж)(?:\s|$)/g;
- /(скачать.музык|музык.скачать)/g;
- /тор?рент/g;
这就是受感染用户被诱导访问受感染网站或以加密货币为主题的合法网站的方式,他们将在这些网站上看到上述消息。
当用户访问维基百科时,main.js会添加一个包含捐赠请求的内容,以支持在线百科全书。 网络犯罪分子的钱包地址用于代替银行详细信息。而原始的捐赠信息将被删除。
当用户访问网页telegram.org时,他们会看到可以用极低的价格购买Telegram的token。
当用户访问俄罗斯社交网络`Vkontakte(VK)`的页面时,该木马会为其添加广告内容。 如果用户点击横幅广告,他们会被重定向到网上诱骗资源(位于域名`ooo-ooo [.]`信息中),系统会提示他们现在支付一小笔钱以便以后赚取大量资金。
#### IOCs
卡巴斯基实验室的产品检测Razy相关的脚本为HEUR:`Trojan.Script.Generic`。
以下是分析脚本中检测到的所有钱包地址:
- Bitcoin: ‘1BcJZis6Hu2a7mkcrKxRYxXmz6fMpsAN3L’, ‘1CZVki6tqgu2t4ACk84voVpnGpQZMAVzWq’, ‘3KgyGrCiMRpXTihZWY1yZiXnL46KUBzMEY’, ‘1DgjRqs9SwhyuKe8KSMkE1Jjrs59VZhNyj’, ’35muZpFLAQcxjDFDsMrSVPc8WbTxw3TTMC’, ’34pzTteax2EGvrjw3wNMxaPi6misyaWLeJ’.
- Ethereum: ’33a7305aE6B77f3810364e89821E9B22e6a22d43′, ‘2571B96E2d75b7EC617Fdd83b9e85370E833b3b1′, ’78f7cb5D4750557656f5220A86Bc4FD2C85Ed9a3’.
在撰写本文时,这些钱包的交易总额约为0.14 BTC加25 ETH。
#### MD5
Trojan.Win32.Razy.gen
707CA7A72056E397CA9627948125567A
2C274560900BA355EE9B5D35ABC30EF6
BAC320AC63BD289D601441792108A90C
90A83F3B63007D664E6231AA3BC6BD72
66DA07F84661FCB5E659E746B2D7FCCD
Main.js
2C95C42C455C3F6F3BD4DC0853D4CC00
2C22FED85DDA6907EE8A39DD12A230CF
i.js
387CADA4171E705674B9D9B5BF0A859C
67D6CB79955488B709D277DD0B76E6D3
Extab.js
60CB973675C57BDD6B5C5D46EF372475
Bgs.js
F9EF0D18B04DC9E2F9BA07495AE1189C
#### 恶意域名
gigafilesnote[.]com
apiscr[.]com,
happybizpromo[.]com,
archivepoisk-zone[.]info,
archivepoisk[.]info,
nolkbacteria[.]info,
2searea0[.]info,
touristsila1[.]info,
touristsworl[.]xyz,
solkoptions[.]host.
solkoptions[.]site
mirnorea11[.]xyz,
miroreal[.]xyz,
anhubnew[.]info,
kidpassave[.]xyz
#### 钓鱼域名
ton-ico[.]network,
ooo-ooo[.]info.
谢谢楼主分享 感谢分享· 这个好,谢谢分享
支持一下 支持一下 挺全面的,谢谢楼主分享
页:
[1]