当前位置:安全资讯 >> 全文

攻击者利用CHM 帮助文档传播巴西银行木马

发布时间:2017-12-21 19:34 标签: CHM,银行木马
分享到 0

安全研究员警告称,一起新型垃圾邮件活动盯上巴西机构,通过在附件中包含编译 HTML 文件传播银行木马。

Trustwave公司的研究员 Rodel Mendrez在一份技术 write-up 中指出,垃圾信息中含有一个名为 comprovate.chm 的恶意 CHM 附件。用于传播木马的多阶段感染技术有效地通过混淆保护恶意软件遭检测。目前60AV扫描器中,只有8个将这个 CHM 附件识别为恶意文件。

攻击者利用微软在线帮助格式CHM文件传播恶意软件。CHM文件是交互性质的,而且能运行攻击者将受害者重定向至外部 URL JavaScriptCHM文件用于最近发生的多起攻击中如由 Slience 团伙在11月份发动的攻击活动。

Mendrez 指出,用户打开 CHM 后,它会执行少量 PowerShell 命令,下载第二阶段的 PowerShell 脚本。随后当用户登录后,攻击者通过创建预定任务运行恶意软件获得持续权限。当 CHM 文件容器未压缩时,它包含 HTML 对象,其中一个对象是 Load_HTML_CHM0.html。当微软的“帮助”视窗 (hh.exe) 加载这个 HTML 对象时,它会运行一个 JavaScript 函数 open()。该函数解码数据库,而数据块执行两个通过Base64 XOR 解码层。数据解码后会形成一个 ClassID 对象,从而启用一个恶意 PowerShell 脚本。

Mendrez 称,“因此攻击能躲藏在雷达之下,PowerShell 命令通过终止 hh.exe 在后台静默运行并将窗口样式设置为隐藏。随后它触发用Base6 编码的命令,下载托管在 Google Sites 上的第二阶段 PowerShell 脚本。”

而这就触发第二个 Bancos 木马二进制被下载到 %Appdata%\Sysinit 文件夹,然后复制到 %Appdata%\SysRun。下载的关键可执行二进制  Server.bincmd.binXSysInit.bin (用于捕获鼠标和键盘活动)以及CRYPTUI.DLL(能够下载额外的有效负载)。

这个攻击序列包含三项预定任务。第一项任务是在用户登录时运行恶意软件,第二项任务是强制目标系统经由一个恶意 PowerShell 脚本重启,第三项任务是执行Server.bin,而Server.bin加载文件 CRYPTUI.DLL,进而下载新的 payload

Mendrez 指出,“当加载DLL (CRYPTUI.DLL) 后,它会将恶意代码扩展并注入到新进程 iexpress.exe中。随后它会获取系统信息如用户名和计算机名称并报告给控制服务器。”

Mendrez表示,以上攻击突出了源自带有 CHM 木马附件的多个恶意软件感染阶段。多阶段感染是攻击者为停留在反病毒扫描器雷达之下的常见方法。事实上,在研究人员发现这个样本的一个多月后,60个反病毒扫描器中只有8个能检测到它。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://threatpost.com/chm-help-files-deliver-brazilian-banking-trojan/129209/
参与讨论,请先 登录 | 注册

用户评论