这篇博文由哈舍雷扎德和杰罗姆·塞古拉撰写
11月23日,我们收到了一位合作伙伴发出的关于德国Gootkit感染死灰复燃的警报。Gootkit是一种功能非常强大的银行特洛伊木马,自2014年以来一直存在,并拥有许多功能,如击键或视频录制,旨在窃取金融相关信息。
在这一最新的竞选中,威胁演员通过使用诱饵论坛模板来依赖于社会工程师用户的受损网站,指示他们下载恶意文件。
在分析复杂的恶意软件装载机时,我们令人惊讶的发现。受害者在某些情况下获得Gootkit本身,或者在某些情况下,Revil(SodInokibi)赎金软件。在与刑事基础设施支票后,致电的决定发生在一个或其他有效载荷之后。
Gootkit攻击在德国观察到
安全研究员Theanalyst.是第一个公开的识别11月的一个积极的活动,使用最终归因于Gootkit的复杂装载机,在野外未观察到一段时间的银行木工特洛伊木马。德国的电脑应急响应团队CERT-BUND.之后确认的德国用户通过被破坏的网站成为攻击目标。
在同一时间,我们开始收到来自一些合作伙伴及其ISP的报告,了解与Gootkit相关的流量。必威客服app我们能够确认所有位于德国的遥测中的Gootkit检测。
几天后,我们修复了600多台受损的独特机器。
在黑客网站上的假论坛模板
初始装载机通过HACKed网站使用令人兴趣的搜索引擎优化(SEO)技术来分布,以自定义试图欺骗用户下载文件的虚假模板。
模板模仿一个论坛线程,用户在德语中询问有关特定主题的帮助,并收到似乎是他们正在寻找的答案。值得注意的是,托管这个模板的黑客网站不是德国人(只有模板是);他们只是恰好易受攻击,用作威胁演员基础设施的一部分。
如果正确的受害者浏览受妥协的网站,则有条件地和动态地创建此假论坛发布。脚本从中删除合法的网页内容多姆并添加其自己的内容(显示到文件下载的链接的模板)。
每次访问页面之前都有一个服务器端检查,以确定用户是否已被授予虚假模板,在这种情况下,Web服务器将返回合法内容。
无纺布执行和模块安装
一旦受害者在他们刚下载的zip存档内部执行恶意脚本,感染过程开始。
此脚本是导致执行最终有效负载的几个阶段中的第一个。下图显示了高级概述:
第1阶段 - 第一个JavaScript
第一个JavaScript是必须由受害者手动执行的模块,并且已经混淆,以隐藏其真实的意图。混淆由三个层组成,其中一个解码下一代的内容。
第一阶段(可用的已清除格式的版本)这里)解码下一个元素:
这解码输出是一个逗号分隔的JavaScript块数组:
数组中有四个元素由其索引引用。例如,具有索引0的元素意味着“构造函数”,1是另一个JavaScript代码块,2是空的,3是引起提供代码的呼叫的包装器。
块1负责读取/编写“HKEY_CURTENT_USER \ Software \