1. 威客安全首页
  2. 安全资讯

一个在你打开色情网站时触发录屏并上传的恶意软件



色情网站,英文名pornsite,封面就是最好的阐释。


而近日,安全厂商ESET发布了一则分析报告指出,有一个恶意软件格外的智能,除了盗窃用户浏览器和邮箱密码外,还会有一个很奇葩的功能:


当受害者在线观看色情网站时,恶意软件会使用FFmpeg录制受害者的屏幕,并通过Tor将视频上传至攻击者的C&C服务器。


以下为具体操作。


这种名为Varenyky的恶意软件(俄语,中文翻译为饺子),于2019年5月初首次出现,并在6月通过垃圾邮件分发的恶意文档中作为Dropper进行投放。

一个在你打开色情网站时触发录屏并上传的恶意软件


而该恶意软件主要针对法国,因为宏代码会过滤非位处法国的目标。

代码使用函数Application.LanguageSettings.LanguageID()来获取受害者计算机的语言ID。此ID包含用户设置的国家/地区和语言。

该脚本检查返回的值是十进制的1036(或十六进制的0x40C),并且根据Microsoft文档,该值对应法语。

一个在你打开色情网站时触发录屏并上传的恶意软件


旧版Varenyky变种使用UPX壳,但近期变种使用自定义壳,样本解压缩过程:

首先使用32个字符长的字符串对其Payload进行异或解密,然后使用LZNT1算法对其进行解压缩,LZNT1算法是LZ77的变体。

解压后的文件不落地,直接在内存运行。


如果尚未安装恶意软件,它将在%APPDATA%中创建一个具有特定名称的目录,名称为由机器的GUID,用户名,计算机名和CPU名组成的大写哈希值,紧接着会将需要运行的库文件和Tor程序直接放入目录。


并将自身写入启动项,释放互斥锁,从创建的目录中重新启动,并使用AWS的checkip.amazonaws.com服务执行Tor并获取其外部IP地址。


它将启动两个线程:一个负责发送垃圾邮件,另一个可以执行来自其C&C服务器的命令,使用Tor通过HTTP协议进行C2通信,长长的.onion

jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion

一个在你打开色情网站时触发录屏并上传的恶意软件


其中值得一提的是NirSoft的WebBrowserPassView和Mail PassView工具。这些是用于Web浏览器和电子邮件客户端密码的密码恢复工具,在恶意软件中经常用来盗取浏览器密码和邮箱密码,前几天刚见到一个,很好用就是了。


一个在你打开色情网站时触发录屏并上传的恶意软件

下载地址:https://www.nirsoft.net/utils/web_browser_password.html


紧接着,恶意软件会执行最精髓的操作。

一开始的版本是,它会监控用户打开的窗口,然后窗口标题如果显示了指定关键字则会将窗口标题发送到C&C服务器。

一个在你打开色情网站时触发录屏并上传的恶意软件


而现在,此功能更改为,只要遇到“sexe”一词时,恶意软件会使用之前通过Tor网络下载的FFmpeg录屏工具,并将视频录制后上传到C&C服务器。

一个在你打开色情网站时触发录屏并上传的恶意软件


至于为什么要上传这些录屏后的视频,有一种说法是为了敲诈讹钱,也有的是说为了录屏卖片,或者是攻击者自己就想,反正都有可能。


更奇怪的是,这个恶意软件的不同版本会使用不同的字符串,发送到C&C服务器中,从而标记自己。

奇葩的字符串如下,奇葩到我完全看不懂。

一个在你打开色情网站时触发录屏并上传的恶意软件

打开他的洋葱网站,奇葩之感扑面而来。

一个在你打开色情网站时触发录屏并上传的恶意软件


“饺子”恶意软件幕后的攻击者,经常会发送一些类似说我看见你看色情网站了,为了不曝光你你要给我比特币之类的钓鱼邮件,恐怕之后会结合录屏的视频进行敲诈,那样可能真的会有人给钱了。

一个在你打开色情网站时触发录屏并上传的恶意软件

所谓的性敲诈邮件

小声:至于为什么要指定sexe关键词,你可以在twitter输入看看,亲测


原文+IOC链接:

https://www.welivesecurity.com/2019/08/08/varenyky-spambot-campaigns-france/


近期阅读:


一个在你打开色情网站时触发录屏并上传的恶意软件

▲点击此处或图片

因为知识星球官方要8月20日开始扣税20%,因此到时候本星球必然会涨价到300.所以有需要看最新的网络安全情报和数据就赶紧进来吧,越早越好,欢迎光临

一个在你打开色情网站时触发录屏并上传的恶意软件

老板求录屏转发

原文始发于微信公众号(黑鸟):一个在你打开色情网站时触发录屏并上传的恶意软件

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X