趨勢(shì)科技的研究人員最近發(fā)現(xiàn)了一個(gè)新出現(xiàn)的攻擊活動(dòng)，該活動(dòng)會(huì)傳播了一個(gè)Credential Stealer程序，其主要代碼組件是用AutoHotkey(AHK)編寫(xiě)的。

攻擊者一直在尋找一種方法來(lái)在受害者計(jì)算機(jī)上執(zhí)行文件并避免不被檢測(cè)到。最常用的一種方法是涉及使用腳本語(yǔ)言，該腳本語(yǔ)言在受害者的操作系統(tǒng)中沒(méi)有內(nèi)置編譯程序，并且沒(méi)有其編譯程序或解釋程序就無(wú)法執(zhí)行。 Python，AutoIT和AutoHotkey(AHK)是此類(lèi)腳本語(yǔ)言的一些示例。特別是，AHK是Windows的一種開(kāi)源腳本語(yǔ)言，旨在提供簡(jiǎn)單的鍵盤(pán)快捷鍵或熱鍵、快速的微創(chuàng)建和程序自動(dòng)化，AHK還允許用戶(hù)使用其代碼創(chuàng)建“compiled” .EXE。

[[359230]]

在12月中旬，研究人員發(fā)現(xiàn)了一個(gè)傳播Credential Stealer的活動(dòng)。研究人員還了解到，該活動(dòng)的主要代碼部分是使用AHK編寫(xiě)的。通過(guò)跟蹤活動(dòng)的組成部分，研究人員發(fā)現(xiàn)其活動(dòng)始于2020年初。惡意程序感染包括多個(gè)階段，這些階段從惡意Excel文件開(kāi)始。反過(guò)來(lái)，此文件包含AHK腳本編譯程序可執(zhí)行文件，惡意的AHK腳本文件和Visual Basic for Applications(VBA)AutoOpen宏。完整的攻擊鏈如圖1所示。研究人員的遙測(cè)技術(shù)跟蹤了惡意程序的命令和控制(C&C)服務(wù)器，并確定這些服務(wù)器來(lái)自美國(guó)、荷蘭和瑞典。研究人員還了解到，該惡意程序一直將攻擊目標(biāo)針對(duì)美國(guó)和加拿大的金融機(jī)構(gòu)。

刪除的adb.exe和adb.ahk在此感染中起到了關(guān)鍵作用，adb.exe是合法的可移植AHK腳本編譯程序，其工作是在給定路徑下編譯和執(zhí)行AHK腳本。默認(rèn)情況下(不帶參數(shù))，此可執(zhí)行文件在同一目錄中執(zhí)行具有相同名稱(chēng)的腳本。被刪除的AHK腳本是一個(gè)下載程序客戶(hù)端，負(fù)責(zé)實(shí)現(xiàn)持久性，分析受害者，下載和執(zhí)行受害者系統(tǒng)上的AHK腳本。

為了保持持久性，下載程序客戶(hù)端會(huì)在啟動(dòng)文件夾中為adb.exe創(chuàng)建一個(gè)自動(dòng)運(yùn)行鏈接，該可移植編譯程序用于編譯和執(zhí)行AHK腳本。默認(rèn)情況下(不帶任何傳遞參數(shù))，此可執(zhí)行文件在同一目錄(本例中為adb.ahk)中執(zhí)行具有相同名稱(chēng)的AHK腳本。

該腳本通過(guò)基于C驅(qū)動(dòng)器的卷序列號(hào)為每個(gè)受害者生成唯一的ID來(lái)對(duì)每個(gè)用戶(hù)進(jìn)行配置。然后，該惡意程序?qū)⒔?jīng)歷無(wú)限循環(huán)，并開(kāi)始每五秒鐘發(fā)送一次帶有生成ID的HTTP GET請(qǐng)求。此ID用作其命令和控制(C&C)服務(wù)器的請(qǐng)求路徑，以在受感染的系統(tǒng)上檢索和執(zhí)行AHK腳本。

為了執(zhí)行命令，該惡意程序接受每個(gè)受害者不同任務(wù)的各種AHK腳本，并使用相同的C&C URL執(zhí)行這些腳本，而不是在一個(gè)文件中實(shí)現(xiàn)所有模塊并接受執(zhí)行命令的命令。通過(guò)這樣做，攻擊者可以決定上傳特定腳本以實(shí)現(xiàn)針對(duì)每個(gè)用戶(hù)或用戶(hù)組的自定義任務(wù)。這也可以防止主要組件被公開(kāi)，特別是向其他研究人員或沙盒公開(kāi)。實(shí)際上，盡管研究人員注意到這種攻擊早在2020年初就開(kāi)始了，但沙箱仍未發(fā)現(xiàn)任何命令。這表明，攻擊要么選擇何時(shí)將命令實(shí)際發(fā)送到受感染的受害者計(jì)算機(jī)，要么C&C服務(wù)器的快速變化使其難以跟蹤。到目前為止，研究人員發(fā)現(xiàn)了五臺(tái)C&C服務(wù)器和僅兩個(gè)命令：deletecookies 和passwords。

在下載的客戶(hù)端下載組件中，研究人員觀察到一個(gè)用AHK編寫(xiě)的Credential Stealer。該腳本負(fù)責(zé)從各種瀏覽器中收集憑據(jù)并將其泄漏給攻擊者。值得注意的是，這種Credential Stealer的一個(gè)變體以特定的網(wǎng)站為目標(biāo)。其中包括加拿大的主要銀行，如圖2所示。

加拿大銀行的客戶(hù)信息被泄漏

一個(gè)有趣的方面是，AHK提供了腳本，其中包含俄語(yǔ)的使用說(shuō)明。這表明攻擊鏈的創(chuàng)建背后是一個(gè)“hack-for-hire”組織。下面幾節(jié)將描述圖1中所示的攻擊鏈的詳細(xì)信息。

惡意組件分析

如果用戶(hù)啟用宏來(lái)打開(kāi)Excel文件，則VBA AutoOpen宏將刪除并通過(guò)可移植的AHK腳本編譯程序執(zhí)行AHK下載程序客戶(hù)端腳本。

Excel文件中的VBA下載程序

默認(rèn)情況下，已刪除的可移植AHK腳本編譯程序adb.exe在同一目錄中以相同名稱(chēng)執(zhí)行AHK腳本。在這種情況下，adb.exe自動(dòng)檢測(cè)并執(zhí)行adb.ahk腳本。

AHK下載程序腳本

如前所述，adb.ahk是一個(gè)下載程序客戶(hù)端，它負(fù)責(zé)持久性，對(duì)受害者進(jìn)行性能分析以及每五秒鐘連續(xù)在受害者系統(tǒng)中下載和執(zhí)行AHK腳本。該惡意程序向其C&C服務(wù)器發(fā)送HTTP GET請(qǐng)求，以便在受感染的計(jì)算機(jī)中下載并執(zhí)行AHK腳本。

AHK下載程序發(fā)送的HTTP GET請(qǐng)求

服務(wù)器的響應(yīng)將保存到名為adb.exe〜的文件中，adb.exe〜是AHK純文本腳本，它不是可執(zhí)行文件。圖5中的HTTP GET請(qǐng)求路徑是受害者的唯一ID，其格式如下：

[[359231]]

重要的是要注意，在其他一些變體中，“-xl2”被替換為“-pro”。在adb.ahk執(zhí)行下載的AHK腳本之前，它首先檢查文件的末尾是否存在特定字符(“〜”)。如果找到該字符，則繼續(xù)執(zhí)行。

此外，該惡意程序還會(huì)在啟動(dòng)文件夾中創(chuàng)建一個(gè)自動(dòng)運(yùn)行鏈接，該鏈接指向名為“GraphicsPerfSvc.lnk”的adb.exe AHK腳本編譯程序。如前所述，默認(rèn)情況下，編譯程序執(zhí)行具有相同名稱(chēng)和目錄的AHK腳本。

Credential Stealer的最后一行

分析Credential Stealer

下載程序客戶(hù)端下載的一個(gè)腳本是瀏覽器憑據(jù)竊取程序，在以下部分中，研究人員將研究此惡意腳本的實(shí)現(xiàn)、函數(shù)和網(wǎng)絡(luò)通信。

一旦成功執(zhí)行，該惡意軟件通過(guò)HTTP POST請(qǐng)求向C&C服務(wù)器發(fā)送狀態(tài)日志 (“passwords: load”)：

惡意程序發(fā)送的狀態(tài)日志

與adb.ahk一樣，此腳本還會(huì)根據(jù)C驅(qū)動(dòng)器的卷序列號(hào)為其受害者生成唯一的ID。然后，將生成的唯一受害者ID用于跟蹤感染，并且對(duì)于每個(gè)受害者始終保持相同。

然后，Credential Stealer嘗試在受害計(jì)算機(jī)上下載“sqlite3.dll”。該惡意程序使用此DLL對(duì)瀏覽器的應(yīng)用程序文件夾中的SQLite數(shù)據(jù)庫(kù)執(zhí)行SQL查詢(xún)。

Credential Stealer下載sqlite3.dll并發(fā)送執(zhí)行狀態(tài)

從上面的代碼段中，研究人員可以看到惡意程序再次檢索了C驅(qū)動(dòng)器的卷序列號(hào)，并搜索了兩個(gè)硬編碼的序列號(hào)605109072和605109072。這兩個(gè)序列號(hào)已用于調(diào)試目的，退出時(shí)會(huì)腳本在消息框中顯示SendLog()函數(shù)參數(shù)。值得注意的是，此調(diào)試技術(shù)也已在此腳本的各種函數(shù)中看到。

值得注意的是，惡意程序作者使用以下開(kāi)源代碼通過(guò)AHK處理SQLite數(shù)據(jù)庫(kù)。

AHK的開(kāi)源SQLite類(lèi)

該惡意程序的主要目的是從各種瀏覽器(例如Microsoft Edge，Google Chrome，Opera，F(xiàn)irefox和Internet Explorer(IE))中竊取憑據(jù)。為了實(shí)現(xiàn)此任務(wù)，惡意程序使用以下函數(shù)：

Credential Stealer函數(shù)

下圖演示了上述函數(shù)的執(zhí)行過(guò)程：

與Chrome，Edge和Opera瀏覽器相關(guān)的函數(shù)概述

Firefox竊取程序函數(shù)概述

IE竊取程序函數(shù)概述

該惡意程序會(huì)識(shí)別受害計(jì)算機(jī)中安裝的瀏覽器并通過(guò)SendLog()函數(shù)將其發(fā)現(xiàn)報(bào)告給其C&C服務(wù)器。如果未安裝目標(biāo)瀏覽器，則該惡意程序會(huì)將其標(biāo)記為“not_found”:

可以看出，惡意程序?qū)?ldquo;Opera_not_found”發(fā)送到C&C服務(wù)器，因?yàn)樗鼪](méi)有在已安裝的瀏覽器中找到Opera。

另一方面，如果目標(biāo)瀏覽器在受害計(jì)算機(jī)中，則惡意程序?qū)⑵錁?biāo)記為“ _ok”，如下圖所示：

由于Chrome是已安裝的瀏覽器之一，因此惡意程序會(huì)將“Chrome_ok”發(fā)送到C&C服務(wù)器。

以下代碼段演示了惡意程序如何搜索Chrome，Edge和Opera的登錄數(shù)據(jù)。

惡意程序會(huì)找到已安裝的瀏覽器

對(duì)于Internet Explorer密碼竊取程序，開(kāi)發(fā)者從開(kāi)源IE密碼信息竊取程序中借用了一些代碼，并將其轉(zhuǎn)換為AHK。

IE竊取程序

數(shù)據(jù)滲漏

最終，該惡意程序通過(guò)HTTP POST請(qǐng)求從受害者計(jì)算機(jī)上已安裝的瀏覽器中收集到的憑據(jù)發(fā)送給攻擊者。值得注意的是，對(duì)于每個(gè)瀏覽器，惡意程序都會(huì)嘗試解密憑據(jù)并將其以純文本的形式發(fā)送到C&C。

憑證泄漏的示例

憑證泄漏

關(guān)于這個(gè)活動(dòng)的另一件有趣的事情是，下載的組件在代碼級(jí)別上組織得非常好。這些下載的組件也有主要函數(shù)和變量的注釋格式的使用說(shuō)明。因此，此行為可能表明，此代碼不僅供其開(kāi)發(fā)者使用，還可供其他人作為服務(wù)或獨(dú)立對(duì)象使用。

總結(jié)

惡意程序的感染包括以惡意Excel文件開(kāi)始的多個(gè)階段，如果用戶(hù)啟用了宏以打開(kāi)Excel文件，則VBA AutoOpen宏將刪除并通過(guò)合法的可移植AHK腳本編譯程序執(zhí)行下載程序客戶(hù)端腳本。下載程序客戶(hù)端負(fù)責(zé)實(shí)現(xiàn)持久性，分析受害人以及在受害人系統(tǒng)中下載并執(zhí)行AHK腳本。該惡意程序沒(méi)有從C&C服務(wù)器接收命令，而是下載并執(zhí)行AHK腳本來(lái)執(zhí)行不同的任務(wù)。下載的腳本是針對(duì)各種瀏覽器(例如Google Chrome，Opera，Edge等)的Credential Stealer。Credential Stealer從瀏覽器收集和解密憑據(jù)，然后通過(guò)HTTP POST請(qǐng)求將信息泄漏到攻擊者的服務(wù)器。

事實(shí)上，通過(guò)在受害者的操作系統(tǒng)中使用一種缺乏內(nèi)置編譯程序的腳本語(yǔ)言，加載惡意組件以分別完成各種任務(wù)以及頻繁更改C&C服務(wù)器，攻擊者已經(jīng)能夠從沙盒中隱藏其意圖。

IOCs

本文翻譯自：

https://www.trendmicro.com/en_us/research/20/l/stealth-credential-stealer-targets-us-canadian-bank-customers.html