上個月，F(xiàn)ortiGuard Labs 發(fā)現(xiàn)了一項針對尋找盜版軟件的 YouTube 觀眾進行的正在進行的威脅活動。這些視頻是由擁有大量訂閱量的驗證 YouTube 頻道上傳的，廣告下載“破解”(即盜版) 軟件。受害者被引導(dǎo)執(zhí)行惡意二進制文件，并在他們的系統(tǒng)中安裝多個惡意軟件，旨在收集憑證、進行加密貨幣挖礦和從錢包中竊取加密貨幣資金。

· 受影響的平臺：Windows；

· 受影響的用戶：任何組織；

· 影響：遠程攻擊者竊取憑據(jù)、敏感信息和加密貨幣，并在系統(tǒng)上執(zhí)行加密劫持；

· 嚴重級別：嚴重。

號稱可以教你破解軟件的YouTube視頻

上傳的視頻使用“Adobe Acrobat Pro dc Crack 2023免費完整版/Adobe Acrobat免費下載”等標題引誘用戶搜索盜版軟件。一些視頻還顯示了使用盜版軟件的教程，盡管在大多數(shù)情況下，它們只是顯示與軟件產(chǎn)品無關(guān)的靜態(tài)圖像。

上傳視頻截圖

為了提高可信度，惡意軟件活動利用了擁有大量關(guān)注度的經(jīng)過驗證的YouTube頻道。其中一個YouTube頻道擁有近300萬訂戶。由于這些YouTube頻道過去曾上傳過合法視頻，我們懷疑這些賬戶可能已被攻擊。

上傳破解軟件視頻的YouTube賬號

一些視頻也發(fā)布了類似的評論（可能是自動生成的），這表明有可能進行自動視頻上傳和評論。

自動生成的注釋

潛在的受害者被誘導(dǎo)從文件共享服務(wù)下載受密碼保護的文件。惡意URL和密碼（通常是四個數(shù)字）位于視頻的描述和評論部分。

來自上傳者的帶有惡意鏈接的評論

視頻似乎是批量上傳的，例如，其中一個賬戶在8小時內(nèi)上傳了50多個視頻，提供了不同的盜版軟件，這些軟件都指向同一個URL。視頻會在一段時間后被刪除，之后攻擊者會將視頻上傳到其他賬戶。

攻擊鏈

攻擊鏈

如上圖所示，通過YouTube視頻描述中提供的URL下載RAR文件2O23-F1LES-S0ft.RAR后，受害者必須使用與URL一起列出的密碼“1212”解壓縮文件，并運行其中包含的Launcher_S0ft-2O23.exe。該文件還包含多個未使用的文件和目錄，可能是為了偽裝成合法的安裝程序。下面我們將詳細分析每個組件。

launcher_soft - 2o23 .exe ——視頻竊取程序

launcher_soft - 2o23 .exe是Vidar信息處理程序。它附加了超過1GB的未使用字節(jié)，這是一種通常用于繞過防病毒和沙箱的技術(shù)，由于CPU和RAM資源有限，這些技術(shù)不會掃描超過特定大小的文件。該文件的SHA256哈希值為820bbfc1f5023af60a7048a0c25e3db51b481afd6986bf1b5ff806cf604c1f4c(原始)和e256b5ef66c4e56dac32934594b41e7e8cf432f834046e1c24c0827b120e6ddb(刪除多余字節(jié)后)。

一旦執(zhí)行，它發(fā)送一個HTTP GET請求到它的命令和控制(C2)服務(wù)器79.137.206[.]228簽入和檢索竊取配置。注意，在這個GET請求中沒有User-Agent和其他典型的HTTP標頭。

Vidar注冊請求

分號分隔的配置可以解釋如下：

第一個以逗號分隔的塊包含單個數(shù)字標志，用1(啟用)或0(禁用)表示，用于切換特定的竊取功能。

基于這個配置，此竊取程序?qū)⑹占镜卮鎯Φ拿艽a（例如FTP、SSH）、瀏覽器cookie和歷史記錄、Telegram數(shù)據(jù)和屏幕截圖。

加密貨幣錢包收集未啟用。

一個32個字符的十六進制字符串（在上圖中經(jīng)過編輯）是C2服務(wù)器生成的令牌，用于后續(xù)的數(shù)據(jù)泄露請求。

其余配置值用于從受感染的計算機收集文件。在這種情況下，竊取程序遞歸地從Windows桌面目錄中收集擴展名為.txt的文件，擴展名小于50kb。

一旦敏感信息被收集并壓縮到ZIP文件中，惡意軟件就會通過HTTPPOST請求將這些數(shù)據(jù)泄露到C2中。

Vidar數(shù)據(jù)泄露請求

POST請求包含“id”，表示竊取程序，對于每個受感染的用戶都是一樣的，以及之前由C2服務(wù)器在簽入請求中提供的“令牌”?！拔募卑粋€Base64編碼的ZIP文件，其中包含惡意軟件收集的數(shù)據(jù)。ZIP文件的內(nèi)容如下。

包含已泄露數(shù)據(jù)的ZIP文件的內(nèi)容

Information.txt包括有關(guān)操作系統(tǒng)、硬件、運行進程和受感染系統(tǒng)上安裝的軟件的信息。

information.txt

然后，C2服務(wù)器以下載和執(zhí)行惡意軟件的次要有效負載列表進行響應(yīng)。此示例下載用戶jesus061031r擁有的GitHub存儲庫中作為發(fā)布版本存儲的文件。具有不同文件名的類似惡意文件分散在同一用戶擁有的其他存儲庫中。

次要有效負載列表

這些文件用包含20個數(shù)字字符的隨機文件名寫入%ProgramData%，并按順序執(zhí)行。一旦有效負載被執(zhí)行，惡意軟件就會退出并自行刪除。對有效負載的分析將在以下章節(jié)中討論。

根據(jù)C2協(xié)議、information.txt中的系統(tǒng)數(shù)據(jù)格式以及泄露的ZIP文件中的文件組織，該示例被識別為Vidar竊取程序。

雖然Vidar與追蹤同一活動的其他研究人員觀察到的RecordBreaker是一個明顯不同的惡意軟件家族，但兩者都是信息竊取程序，這表明攻擊者的主要興趣是竊取憑據(jù)以繼續(xù)其惡意目標。

GUI_MODERNISTA.exe——破解下載程序

GUI_MODERNISTA.exe（SHA256:62d4caf908b3645281d5f30f5b5dc3a4beb410015196f7eaf66ca743f415668）是一個相對較?。?8KB）的.NET應(yīng)用程序，它將用戶重定向到文件共享網(wǎng)站上的硬編碼URL鏈接，該鏈接包含YouTube視頻中宣傳的據(jù)稱已破解的軟件版本。這是唯一顯示給受害者的組件，因為攻擊鏈的其他組件在后臺秘密運行。

研究人員還發(fā)現(xiàn)了該應(yīng)用程序的Python版本（SHA256:ba9503b78bc62d4e5e22e4f8e04b28bb6179e146e1c0a6ba14dd06608facb481）。兩個版本的用戶界面如下圖所示。

破解下載程序

Vadwax.exe - Laplas Clipper

Vadwax.exe（SHA256:f91d9de259052595946250a1440a2457dbda9ee8aec8add24419ff939f13e003）的大小為1.17 GB，但主要由重復(fù)字節(jié)0x30的疊加組成，對應(yīng)于ASCII中的“0”。

Vadwax.exe覆蓋

刪除未使用的覆蓋后，我們得到了一個更小的5.87MB文件（SHA256:2fcb61da34b259b9b130c0c75525697931b9dff8e7f9b2198f9db21b5193eeba）。與之前的示例一樣，這種人為的覆蓋實則是為了逃避檢測。

這個示例是Laplas Clipper，它試圖用用戶剪貼板中的錢包地址來竊取加密貨幣。它根據(jù)從C2服務(wù)器檢索到的正則表達式不斷檢查Windows剪貼板的內(nèi)容。匹配后，剪貼板的內(nèi)容被發(fā)送到C2服務(wù)器，C2服務(wù)器以攻擊者的錢包地址作為響應(yīng)，用于替換適當?shù)募用茇泿?。這使得Laplas Clipper能夠?qū)⒃际湛钊说腻X包地址與攻擊者的錢包地址進行切換，并將資金轉(zhuǎn)移給攻擊者。該特定示例由商業(yè)VMProtect封裝器保護，大量使用反沙箱和反分析檢查。接下來，我們將重點關(guān)注這個示例的持久性和C2通信。

持久性

此示例檢查它是否從%Appdata%目錄運行。如果沒有，它會將自己復(fù)制到%Appdata%\telemetry\svcservice.exe，并將包含隨機化字節(jié)的覆蓋附加到文件中。然后，它通過將名為telemetry的注冊表值添加到以下注冊表項來保持持久性：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

C2通信

Laplas Clipper首先通過HTTP GET請求使用當前計算機名稱和Windows用戶名（guid參數(shù)）以及64個字符的十六進制字符串（密鑰參數(shù)）向C2服務(wù)器注冊hxxp://85[.]192[.]40[.]252/bot/online?guid=

在成功注冊到C2服務(wù)器后，它向hxxp://85[.]192[.]40[.]252/bot/regex請求正則表達式。

 Laplas Clipper C2的Regexes

正則表達式在剪貼板中查找以下加密貨幣的地址（按字母順序排列）：

· Binance Coin (BNB)

· Bitcoin (BTC)

· Bitcoin Cash (BCH)

· Cardano (ADA)

· Cosmos (ATOM)

· Dash (DASH)

· Dogecoin (DOGE)

· Ethereum (ETH)

· Litecoin (LTC)

· Monero (XMR)

· Ripple (XRP)

· Ronin (RON)

· Tezos (XTZ)

· Tron (TRX)

· Zcash (ZEC)

順便說一句，laplas[.]app中的Laplas Clipper C2面板解析為85[.]192[.]40[.]252。

Laplas Clipper C2面板

Vaxa.exe——挖礦安裝程序

Vaxa.exe(SHA256: 44810cead810cd546a8983e464157a4eb98ebbd518c4f4249e6b99e7f911090f) 是一個用于嵌入式挖礦下載負載的內(nèi)存加載程序。

它是一個32位的Windows控制臺應(yīng)用程序，偽裝成一個用于執(zhí)行和顯示一些簡單數(shù)學(xué)運算結(jié)果的程序。

偽裝成數(shù)學(xué)程序的內(nèi)存加載程序

然后，它繼續(xù)解密來自其主體的shellcode和有效負載。shellcode提供了應(yīng)用程序的路徑，以便在執(zhí)行重定向到它之前將有效負載注入其中。

注入器shellcode的設(shè)置和執(zhí)行

shellcode使用進程process hollowing技術(shù)在Regsvcs.exe中注入并執(zhí)行名為Task32Main的.NET程序集（SHA256:5630c8f0dcd2393daf8477e6e419b0d0faf6780b6f1e00ad7a09fd37ddcdd3）。

Task32Main——挖礦下載程序

Task32Main是一個用于Monero加密挖掘組件的.NET下載和安裝程序。它提供支持功能，例如維護持久性和逃避檢測。更重要的是，它負責安裝看門狗組件，以確保挖礦軟件在受害者系統(tǒng)中保持運行。

為了避免被檢測到，它執(zhí)行編碼的PowerShell命令，將以下目錄添加到Windows Defender的掃描排除列表中：

·  %SystemDrive%

·  %UserProfile%

·  %ProgramData%

然后從下載配置文件hxxps://pastebin[.]com/raw/5p5KkdBw下載其他惡意軟件有效負載及其執(zhí)行參數(shù)。

挖礦組件的Pastebin配置

此配置的修改副本將作為log.uce寫入以下目錄：

·  "C:\ProgramData\HostData"；

·  "C:\Users\TRT-DESKTOP\AppData\Local\Temp"；

·  "C:\"；

這將被用作下一節(jié)中討論的看門狗組件的配置文件。

上述配置指示惡意軟件從以下url下載其他與加密相關(guān)的有效負載：

·  hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/WatchNew.exe；·  hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/xmrig.exe；

該惡意軟件創(chuàng)建目錄%ProgramData%\Dllhost，并將下載的文件分別保存為Dllhost.exe（挖礦看門狗）和winlogson.exe（Monero XMRig挖礦）。然后，惡意軟件修改目錄的權(quán)限以拒絕當前用戶的訪問。

%ProgramData%\Dllhost的目錄權(quán)限

為了在受害者系統(tǒng)中持久存在，它每小時添加幾個計劃任務(wù)來執(zhí)行看門狗dllhost.exe。它通過執(zhí)行以下命令來執(zhí)行此操作：

計劃任務(wù)名稱模仿合法的Windows相關(guān)軟件，以阻止偶然檢測，計劃任務(wù)的名稱如下：

·  SecurityHealthSystray；

·  WindowsDefender；

·  WmiPrvSE；

·  AntiMalwareServiceExecutable；

·  Dllhost；

·  MicrosoftEdgeUpd；

·  OneDriveService；

·  NvStray；

·  ActivationRule；

它還通過執(zhí)行以下命令來更改系統(tǒng)的電源設(shè)置，以防止其休眠，以確保其Monero cryptominer組件（稍后執(zhí)行）在計算機通電時始終運行：

主機文件也被修改為將安全產(chǎn)品相關(guān)的域解析為IP 0.0.0.0，以禁用安全產(chǎn)品的通信，例如下載更新。

修改后的主機文件

最后，它執(zhí)行看門狗組件%ProgramData%\dllhost.exe，該組件執(zhí)行實際的加密挖礦。

Dllhost.exe——挖礦看門狗

Dllhost.exe（SHA256:d2e371810e8c7b1e039a02a578b1af0c6250665e85206b97a1ecb71aa5568443）是一個名為Task32Watch的.NET程序集。它是一個看門狗應(yīng)用程序，用于執(zhí)行挖礦組件，監(jiān)控其進程，并確保其保持運行并使用最新的挖掘參數(shù)。

它讀取自己的配置文件log.uce，之前由安裝程序組件Task32Main釋放。它的內(nèi)容與Task32Main組件下載的配置文件相同，但不包括前三行。此外，它還包括最后一行下載配置文件的Pastebin URL。

看門狗配置

此Pastebin URL允許看門狗檢索最新的XMRig挖掘參數(shù)，例如，挖掘池服務(wù)器、錢包地址、工作人員名稱“snnssnewte”等。

然后，它使用這些挖掘參數(shù)執(zhí)行位于同一目錄中的挖礦winlogson.exe。

作為一個看門狗，它通過不斷枚舉系統(tǒng)中當前運行的進程，然后在終止時重新運行挖礦，來確保挖礦進程始終在運行。

此外，為了減少被用戶發(fā)現(xiàn)和終止的機會，它會阻止與系統(tǒng)診斷和分析工具相關(guān)的進程，如任務(wù)管理器和進程黑客。最后，它還會禁止與游戲相關(guān)的進程，這些進程通常是資源密集型的，并減少了可用于挖掘的CPU資源。

要終止的進程列表

總結(jié)

如上所述，下載盜版軟件非常不安全，因為攻擊者會利用這些其竊取用戶憑據(jù)、敏感數(shù)據(jù)甚至加密貨幣。除此之外，受感染的計算機還可能被加密劫持，稱為挖礦機。我們還觀察到，這些攻擊者的反應(yīng)也非?？?，每當GitHub刪除惡意存儲庫后，攻擊者就會迅速上傳類似惡意軟件的新副本。

本文翻譯自：https://www.fortinet.com/blog/threat-research/youtube-pirated-software-videos-deliver-triple-threat-vidar-stealer-laplas-clipper-xmrig-miner