欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

恶意攻击——Pirate matryoshka

来源:本站整理 作者:佚名 时间:2019-03-11 TAG: 我要投稿

使用torrent跟踪器传播恶意软件是一种常见的做法; 网络犯罪分子将其伪装成流行的软件、电脑游戏、媒体文件以及其他广受欢迎的内容。我们在今年早些时候发现了一个这样的攻击活动,The Pirate Bay(TPB)跟踪器充斥着分发恶意软件的有害文件,均以付费程序的破解副本为幌子。

TPB中的恶意种子
我们注意到,跟踪器包含从许多不同帐户创建的恶意种子,其中一些账户在TBP上注册已有一段时间了。

恶意 torrent的描述
Torrent内容
下载到用户计算机的文件不是预期的软件,而是木马,其基本逻辑由SetupFactory安装程序实现。我们的安全解决方案将该恶意软件检测为Trojan-Downloader.Win32.PirateMatryoshka。

Pirate Matryoshka样本的工作流程
在初始阶段,安装程序解密另一个SetupFactory安装程序来显示网络钓鱼网页。

获取第一个恶意组件
该页面直接在安装窗口中打开,并请求用户的TBP帐户凭据,如此则可以继续下去。

获取TBP帐户的仿冒页面
被盗用的帐户最有可能被网络犯罪分子用来传播更多恶意种子 – 我们在上面提到,不仅仅是新创建的帐户被使用。
在执行下一步之前,Pirate Matryoshka首次验证它是否在受攻击的系统中运行。为此,它会检查注册表中的路径HKEY_CURRENT_USER\Software\dSet。如果存在,则终止进一步的执行。如果检查结果为否定,则安装程序会激活pastebin.com服务以获取指向附加模块及其解密密钥的链接。


获取第二个恶意组件
第二个下载的组件也是SetupFactory安装程序,用于按顺序解密和运行四个PE文件:

第二个恶意组件运行的模块
其中第二个和第四个是InstallCapital和MegaDowl文件合作伙伴程序的下载程序(我们归类为广告软件)。 它们通常通过文件共享站点向用户发送 – 除了下载所需内容外,他们的目标是在小心隐藏取消选项的同时安装其他软件。 例如,在InstallCapital中,可安装软件的完整列表放在许可协议的末尾:

InstallCapital中可安装软件的完整列表
在MegaDowl中,列表隐藏在看似无效的高级设置按钮后面:

MegaDowl中可安装软件的完整列表
另外两个文件是用VisualBasic编写的自动注册器,它们是阻止用户取消附加软件安装所必需的(在这种情况下,网络犯罪分子是空手而归)。自动注册器在安装程序之前运行; 检测到安装程序窗口时,他们会选中复选框并单击所需的按钮,以便用户同意安装不必要的软件。



搜索合作伙伴下载程序窗口并单击它们
由于PirateMatryoshka,受害者的计算机充斥着破坏用户和浪费系统资源的有害程序。另外,文件合作伙伴计划的所有者通常不会跟踪其下载程序中提供的程序。 我们的研究表明,合作伙伴安装程序提供的五分之一的文件是恶意的 – 我们遇到的是pBot,Razy等等。

合作伙伴程序下载程序可以做的事
结论
网络犯罪分子总会有新的欺诈行为。在这种特殊情况下,他们采用了一种通过torrent跟踪器分发恶意内容的方法,以在用户计算机上安装广告软件。结果,许多TPB用户不仅在他们的机器上安装了广告软件或恶意软件,而且他们的帐户也被盗取。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载