吉安信息网

usdt线下交易(www.payusdt.vip):CopperStealer窃取多个社交产物账户举行广告诓骗

来源:吉安信息港 发布时间:2021-04-29 浏览次数:

FlaCoin交易所

IPFS官网(www.FLaCoin.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。IPFS官网实时更新FlaCoin(FIL)行情、当前FlaCoin(FIL)矿池、FlaCoin(FIL)收益数据、各类FlaCoin(FIL)矿机出售信息。并开放FlaCoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

先容

CopperStealer是一款类似SilentFade的恶意软件,主要通过偷取Facebook用户的登录凭证,行使账户中绑定的信用卡和预付礼物卡,在Facebook上投放保健品、冒充名牌等劣质产物广告举行赚钱,还会通过云端下发病毒变种和勒索样本执行,危害受害者的资金平安和电脑平安。2019年间,SilentFade因在为Facebook造成了跨越400万美元的损失而引人关注。CopperStealer虽然影响力不如SilentFade大,但其快速转变也可能说明晰这类广告诓骗的趋势正在兴起。CopperStealer最早可追溯到2019年7月,除了Facebook外,另有影响Instagram、Apple、Amazon、Bing、Google、PayPal、Twitter等在内的多个着名社交平台。

流传方式

研究职员在一些可疑站点上(如keygenninja [.] com,piratewares [.] com,startcrack [.] com和crackheap [.] net)发现了包罗CopperStealer在内的多个恶意软件家族,这些站点往往打着提供破解版软件或软件序列号的名头,让受害者在下载时连带下载了恶意负载或可执行文件(图1)。

 

图1:破解版应用程序携带了CopperStealer。

Sinkholing观察

研究职员为恶意网站设置了插页式的忠告页面,并在攻击者将域名注册之前确立了一个sinkhole,此举既能限制攻击者网络受害者的数据,又能使研究职员领会受害者的泉源和数目。在初始运行的24小时中,Sinkholing纪录了来自159个国家/区域的5,046个唯一IP地址的69,992个HTTP请求,其中有4,655次唯一熏染,数目上排名前五名国家划分是:印度、印度尼西亚、巴西、巴基斯坦和菲律宾。

在sinkhole运行了约28小时后,流急剧下降,此时考察到keygenninja [.] com网站不再分发CopperStealer。

恶意软件剖析

此剖析使用SHA256哈希为5fa60303a0c4fd13ecd69e7c1a17788b72605473c2fb3f93eb758010326c76e5的样本。

命名

CopperStealer的名称源自在PDB和历程存储字符串中考察到的字符串“ DavidCopperfield”,也有研究团队将其称为“ Mingloa”并确立了响应的反病毒检测程序。

图2:历程内存字符串

反剖析手艺

CopperStealer行使了几种基本的反剖析手艺来阻止在研究职员系统中运行,包罗:

· IsDebuggerPresent()检查

· GetSystemDefaultLCID() == 0x804 (Chinese (Simplified, PRC) zh-CN)检查

· 寻找一些常见的剖析工具:TCPViewClass、TStdHttpAnalyzerForm、HTTP Debugger、Telerik Fiddler、ASExplorer、Charles、Burp Suite

· 看是否处于下列软件的模拟环境中:vmware、virtual、vbox

CopperStealer可以找到并发送浏览器密码,观察到的案例中受影响的浏览器有:Chrome、Edge、Yandex、Opera和Firefox。CopperStealer还使用cookie检索用户的Facebook接见令牌,并通过令牌请求API端点网络分外信息,包罗同伙列表、为该用户设置的广告帐户和已被授予接见权限的页面列表(图3)

图3:天生的Facebook和Instagram请求

 剖析样本中,确立的所有请求都包罗一个静态的Accept-Language头“ko- kr,ko;q=0.9,en- us;q=0.8,en;q=0.7”。

图4:CopperStealer发送请求以网络受害者Facebook账户的分外信息。

下载器

CopperStealer的下载器功效能从c2服务器检索下载设置。本例中下载的是一个名为xld.dat (18c413810b2ac24d83cd1cdcaf49e5e1)的7z文件,提取文件(ThunderFW.exe - f0372ff8a6148498b19e04203dbb9e69)并执行:

C:Users

CopperStealer使用迅雷对二进制文件的设置举行下载。

此例中,CopperStealer从C2服务器的“/info/dd”URI路径下载设置(图5),也能从备选的URI路径中检索设置下载,设置中包罗了有用负载的位置及执行的详细信息(图6)。

 

图5:从C2服务器返回的加密下载设置。

 

图6:解密后的下载设置。

植入恶意软件

以往版本下载多种类型的恶意软件家族,近期考察到的下载的恶意软件是Smokeloader,下载链接为hxxp://dream[.]pics/setup_10.2_mix1.exe。

近期的SmokeLoader样本包罗:

· 9f9ec27591faea47ca6c72cf26911d932a2a7efe20fdd1a6df8ea82e226fbf38

· c9d92e36006663f53a01a14800389bd29f3266f00727cce1f39862cceccc50b0

· bb5d2c07ce902c78227325bf5f336c04335874445fc0635a6b67ae5ba9d2fefc

· 381ab701bc1e092cb3ad5902e3b828e4822500418fbde8f8102081892e0a095a

· 29c0dca8a7ce4f8be136e51bb4a042778277198e76ddd57dda995b7fb0ce5b35

· 3c1f7af5e69a599268bcb3343b8609006a255090234d699c77922c95743e9e98

· 679150089d1fa44cf099ff4cf677dc683a3fb1bab81b193a56414ac5a046aeeb

· 9902a7fdaac2e764b8e50adbd9ebca4d8d510c2df9af6c5c6a19c721621dd873

· d74b612aa9f21f0d12bdb8a8e8af894bd718a1145c41ec64a646cf4fa78e9f75

基于主机的检测

在剖析样本中没有考察到持久性手艺,但有基于主机的检测。

互斥锁

剖析样本中有了一个名为“ Global exist_sign_install_r3”的互斥锁,其他样本中也有类似的:

· Globalexist_sign__install_r3

· Globalexist_sign_task_Hello001

· Globalexist_sign_task_Hello002

确立注册表项

剖析样本首先实验打开特定的注册表项HKEY_CURRENT_USER SOFTWARE Microsoft vindiesel,如没有则确立。该注册表项用于确认恶意软件是否已在受害者盘算机上运行,并用于确认窃取数据中的“ isfirst”标志值。

证书植入

与Charles Proxy相关的证书,SHA1 Fingerprint = 6C:0C:E2:DD:05:84:C4:7C:AC:18:83:9F:14:05:5F:19:FA:27:0C:DD被加载到受害盘算机的 "My" 和 "Trusted Root"证书存储中。此证书除了用于检查vindiesel注册表项外还检查“ isfirst”标志值。证书名包罗以下配合字段:Charles Proxy CA (19 十月 2019, DESKTOP-BNAT11U)

内核驱动程序植入

剖析的样本还可以植入并加载内核驱动程序(d4d3127047979a1b9610bc18fd6a4d2f8ac0389b893bcb36506759ce2f20e7e4),用途现在未知。

下令与控制

恶意软件使用域天生算法(DGA)天生C2服务器地址,通过HTTP来与之通讯。DGA算法有两类泛起得对照频仍,下面临其详细先容。

域天生算法

恶意软件通过域天生算法(DGA)天天天生新的C2地址,算法由一个公然可用的Python3剧本实现。

Version 10 – Version 47

此版本间的DGA算法需要“种子”字符串及YYYYMMDD花样的当前UTC日期,由其组成的字符串的的MD5哈希的中央16个字符。好比在历程内存字符串中考察到的剖析样本,“种子”是“exchangework”(图7)。

· 使用名为“ exchangework”的种子,在2021年2月10日天生DGA域的历程为:

· 确立字符串:“ exchangework20210210”

· 盘算字符串的md5:“ 2fe5b3641cd81defbab5fc17db5c36c9”

· 提取md5的中央16个字符:“ 1cd81defbab5fc17”

· 加上顶级域(TLD):"1cd81defbab5fc17[.]xyz"

通过此域模式,我们识别了好几个“种子”:

· DavidCopperfield

· FrankLin

· WebGL

· Vindiesel

· exchangework

· changenewsys

· hellojackma

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

 

图7:在历程内存字符串中考察到的DGA种子。

Version 50.0 – Version 52.0

2021年2月21日之后的版本51.0(cde543ca4a84d89bd3c7c0e908b044f2)中,DGA算法举行了略微改动。DGA仍基于“种子”和YYYYMM花样的UTC月份组成串联字符串,取MD5哈希的中央16个字符,但加上了数字“ 1”,“ 2”,“ 3”,“ 4”,“ 5”,组成五个差其余DGA域变体,并包罗一个硬编码备份服务器(图8)。

 

表1:2021年2月发现的DGA 51.0版。

 

图8:在历程内存字符串中考察到的版本51 DGA种子。

版本60.0

2021年3月11日,版本60.0中又泛起了细微修改,DGA与版本50.0中的方式相同,但此版本包罗两个附加的硬编码域,并通过在毗邻字符串后附加数字“ 1”至“ 10”来扩展DGA域变体。

C2流量示例

剖析样本展示了发送到C2服务器新闻的几种差异类型。从客户端到服务器的所有新闻都是通过POST请求发送的,加密内容都带有“ info”要害字,而所有解密内容都以“^A”(x5ex41)脱离。

状态更新

剖析样本通过POST(要害字为“ info”)将状态更新新闻发送到`/info/step`,包罗加密的新闻数据(图9)。

图9:通过HTTP请求传送的状态更新。

状态更新新闻包罗三个字段(图10)。 “ guid”值(与正则表达式”^(?:[a-f0-9]{16}|[a-f0-9]{16})$"相匹配的16个字符),似乎是凭证MachineGuid值和ComputerName天生的。

剖析的样本具有以下“状态”值:

· main_start

· check_start

· fb_start

· ins_start

· dl_start

 

图10:状态更新新闻的解密和拆分内容。

数据传输

CopperStealer通过对特定URI的POST请求将窃取数据发送到C2服务器(图11)。数据与“ info”要害字一起存储并加密。需要传输的数据包罗目的特定的数据字段(图12)。

 

图11:通过“/info/fb”将Facebook数据泄露到C2服务器

 

图12:发送到C2服务器的Facebook数据(已解密)。

ads_info字段包罗一个修悔改的base64编码字符串(未加密),该字符串解码为设置广告帐户信息的json字符串(图13)。

图13:ads_info解码数据的详细信息。

逆向工程解释,Instagram数据也是通过POST请求到“/info/ins”,有以下要害字:

· guid

· ver

· seller

· os

· cookie

· fans

完成下载器功效后,将向C2服务器发送一个特定于下载器的状态更新新闻。状态更新新闻使用与其他新闻相同的加密方式,通过POST请求发送到“/info/retdl”,有以下要害字:

· name

· channel

· os

· guid

· downok

· regok

图14:下载器状态更新被发送到C2服务器。

C2流量加密

虽然恶意软件不使用HTTPS通讯,但它行使了DES加密和修悔改的base64编码。在HTTP通讯中,“info”表单项包罗加密的详细信息。我们考察到几个差其余要害字和iv值(表2):

表2:用于网络通讯的DES加密密钥和IV。

 恶意软件包罗的Python3剧本通过key和IV对通讯举行解密。

“种子”


表3:DGA种子转变的时间表

主要版本更新

一年中,我们考察到近80个CopperStealer差异版本,其中有一半在野分发。新版本的宣布频率从2020年8月最先增添,在2020年10月至2021年2月之间加速,而且每月都市宣布多个新版(图15)。

 

图15:新版本泛起频率。

C2流量转变

某些版本用于发送状态更新和窃取数据的URI具有差其余结构(图16)。

 

图16:版本46.0.0的网络流量

目的差异

剖析样本针对的是Facebook和Instagram,从其他版本网络的网络流量解释,也有其他一些主流头部网站受到影响。

 

表4:考察到的针对其他网站的样本。

动态Cookie网络

在对一个Ver 51.0样本(ed21e90c75aec59d0278efb7107f9253)的简要动态剖析中,恶意软件向“/info/r”发出了HTTP请求,发出的下一个HTTP请求是数据传输,其中包罗引用亚马逊URL的数据字段(图18)。

 

图17:C2服务器响应的域名。

图18:Amazon用户详细信息传输到C2服务器。

硬编码的备份C2

从版本47.0(c2227bff513c463298e61ef82a5c4665)最先,该恶意软件除了DGA天生域之外,还实现了硬编码的备份服务器。对于版本47.0,样本中引入了硬编码的备份C2服务器,图19涵盖了2021年2月12日至2021年2月23日的DGA天生域名。最新版本的60.0被设置为使用其他顶级域(TLD)中的域,例如.io,.ru和.su。

 

图19:版本47.0的历程内存字符串显示的备用C2服务器。

结论

虽然CopperStealer并不是现存的最具损坏性的帐户窃取软件,但它的存在解释,哪怕只有基本功效,其整体影响也可能是伟大的。CopperStealer的快速迭代和使用基于DGA的C2服务器也证实晰幕后团队操作的成熟性。我们将继续关注其走向和生长动态。

本文翻译自:https://www.proofpoint.com/us/blog/threat-insight/now-you-see-it-now-you-dont-copperstealer-performs-widespread-theft:
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片