前言概述

最近几年“银狐”类黑产团伙非常活跃，今年这些黑产团伙会更加活跃，而且仍然会不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，此前大部分“银狐”黑产团伙使用各种修改版的Gh0st远控作为其攻击武器，远程控制受害者主机之后，进行相关的网络犯罪活动。[出自:jiwo.org]

针对一款“银狐”钓鱼样本进行了分析，样本是去年12月出现的一批钓鱼样本，如下所示：

使用正常数字签名是恶意软件经常使用的一种免杀方式之一，该钓鱼样本带有一个正常的数字签名证书，如下所示：

目前该银狐钓鱼样本，国内多家安全厂商均未报毒，样本采用了多种加壳加密方式，同时使用正常的数字签名以逃避安全厂商的检测。

样本分析

1.母体样本采用C#语言编写，编译时间为2024年11月，使用了混淆加壳技术，如下所示：

2.样本被混淆处理，如下所示：

3.简单使用de4dot工具去混淆，如下所示：

4.去混淆之后的代码，如下所示：

5.动态调试解码加密的字符串，如下所示：

6.通过Base64解码，如下所示：

7.解码之后的URL链接，如下所示：

8.从服务器读取该文件，文件内容，如下所示：

9.按上面的顺序从远程服务器上下载恶意文件到指定的目录下，如下所示：

10.再启动down.exe程序，如下所示：

11.采用白+黑的模式加载恶意模块，如下所示：

12.恶意模块与母体一样也带有正常的数字签名，如下所示：

13.恶意模块编译时间为2024年12月16日，使用Virbox加壳处理，如下所示：

14.读取目录下的加密文件TASLogin.log，如下所示：

15.分配相应的内存空间，如下所示：

16.将加密的文件读取到分配的内存空间，如下所示：

17.解密加密的数据，如下所示：

18.解密之后的ShellCode代码，然后跳转执行到ShellCode代码，如下所示：

19.ShellCode获取相关函数地址，然后通过VirtualAlloc分配内存空间，如下所示：

20.解密ShellCode中的加密数据，如下所示：

21.解密之后，如下所示：

22.解密出来的PayLoad采用VMP加壳处理，如下所示：

23.PayLoad的导出函数，如下所示：

24.跳转到PayLoad入口函数，如下所示：

25.动态调试在内存加解密出PayLoad，如下所示：

26.该PayLoad为一款远控窃密木马，采用Delphi语言编写，相关的导出函数，如下所示：

27.FJYSA8D1ACE89219943A45570628FEE12787KTAC导出函数代码，如下所示：

28.盗取受害者浏览器Cookie等数据，包含Chrome、Edge浏览器，如下所示：

29.盗取受害者浏览器登录帐号和密码等数据，如下所示：

30.通过Chrome扩展程序ID信息等，定位操作系统中存在的数字货币钱包信息，如下所示：

31.还包含其他多个C2指令，就不一一分析了，如下所示：

32.Stealer远控窃密木马远程服务器C2域名为kimhate.com，如下所示：

33.在威胁情报平台查询C2域名，如下所示：

该PayLoad与此前笔者分析的《伪装成ToDesk安装程序加载后门盗取数字货币》中的PayLoad代码相似度比较高，有可能这个最新的变种样本，有兴趣的可以分析研究一下。