【钓鱼新姿势】CHM 文件被用于传播银行木马

来自 Trustwave 的高级研究员 Rodel Mendrez 警告,又有新一轮的垃圾邮件正在肆虐巴西的相关机构组织,这些邮件中包含名为 “comprovante.chm” 的附件,它被用来传播银行木马。

 

Rodel Mendrez 表示,木马传播过程中用到的多阶段感染技术能够有效防止杀软的检测,目前在测的 60 款 AV 产品中只有 8 款能够识别出此恶意 CHM 附件。

 

 

攻击者借助了微软的帮助文件格式 CHM,此类文件是交互式的,可执行 JS 脚本,因此能够访问外部的 URL。在最近的几起攻击事件中,包括 11 月份由 Silence 团伙发动的攻击,都可以看到 CHM 文件的影子。

 

“一旦用户打开恶意的 CHM 文件,那么就会转而执行一段 PowerShell 命令,其作用是下载第二阶段的 PowerShell 脚本。接着通过创建计划任务来保证用户登录时运行该恶意程序。” Mendrez 介绍说。“通过解压 CHM 文件,可以得到包含的 HTML 对象,其中就包括了Load_HTML_CHM0.html。


当 hh.exe 程序加载这个 HTML 对象时,将运行一个名为 open() 的 JS 函数用于对数据进行 Base64 和 XOR 双重解码。解码过程将还原出有效的 ClassID,进而运行恶意的 PowerShell 脚本。PowerShell 命令将在后台静默运行,窗口样式也被设成了隐藏,因此不易被察觉。最后下载 Google Sites 中托管的第二阶段 PowerShell 脚本。”

 

Mendrez 解释说:“木马文件会先下载到 “%Appdata%\Sysinit” 目录,然后再被复制到 “%Appdata%\SysRun” 目录,关键的执行文件包括 Server.bin、cmd.bin、XSysInit.bin(捕获鼠标及键盘活动)和 CRYPTUI.DLL(下载另外的 payload)。”

 

“接下去会包含三个阶段的计划任务。1)用户登录时会运行恶意软件;2)通过恶意 PowerShell 脚本强制目标系统重启;3)执行 Server.bin,它会加载 CRYPTUI.DLL 并生成恶意代码注入到 iexpress.exe 进程中,最后获得用户名、计算机名等系统信息回传给控制端服务器。” Mendrez 写道。



来源:threatpost

本文由看雪翻译小组 BDomne 编译



往期热门内容推荐

更多安全资讯,戳左下角“阅读原文”查看!

相关文章
相关标签/搜索