标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2025-3515] 作者: ShYLie 发表于: [2025-03-04]
本文共 [40] 位读者顶过
前言概述 近日有微信朋友发给笔者一个样本,让笔者有空可以看看,如下所示:
分析之后,发现样本还挺新的,而且有一定的对抗性,通过捆绑ToDesk安装程序加载远控后门盗取数字货币等信息,分享出来供大家学习参考。 样本分析 1.初始样本为使用Setup Factory打包的安装程序,如下所示:
2.安装完成之后,在安装目录的dev目录下生成相应的恶意文件,如下所示:
3.样本采用白+黑的方式加载恶意模块,如下所示:
4.恶意模块采用Delphi语言编写,编译时间为2024年10月30日,如下所示:
5.导出函数都被混淆了,如下所示:
6.笔者注意到有一个导出函数比较特别IsWindowServer,通过分析发现恶意代码就隐藏在该导出函数当中,如下所示:
7.读取同目录下的Prgkectiodn.u6mg文件加密数据到内存,如下所示:
8.通过异或算法解密加密的数据,如下所示:
9.解密算法,如下所示:
10.解密出来的PayLoad,如下所示:
11.解密出来的PayLoad也是使用Delphi语言编写,编译时间为2024年10月30日,如下所示:
12.调用执行该PayLoad的M78E27BDC3EF60E302EDD6DD505E10A2F22D17DD23AF703GYT导出函数,如下所示:
13.创建互斥变量GREHERTHE27BDE2361E06CCD30E00B3AFDGFDG5,如下所示:
14.设置相应的自启动注册表项,如下所示:
15.设置完成之后,如下所示:
16.获取操作系统相关信息,操作系统版本、类型、GUID、BIOS信息等,如下所示:
17.PayLoad是一个远控类的模块,通过不同的指令,执行不同的操作,一共有几十个不同的指令执行不同的操作,如下所示:
18.上面指令非常多,笔者重点关注一下数字货币钱包操作,盗取系统上的数字货币钱包,如下所示:
19.通过Chrome扩展程序ID信息等,定位操作系统中存在的数字货币钱包信息,如下所示:
20.盗取用户浏览器相关数据,如下所示:
21.盗取系统用户ETH和TRON数字货币,如下所示:
22.获取系统安全软件信息,如下所示:
23.黑客C2域名为golomee.com,如下所示:
通过威胁情报平台查询,该C2域名被标记为“黑猫”黑产组织,如下所示:
24.笔者从程序中提取出相关数字货币钱包Chrome扩展程序ID信息,如下所示: Wallet NameExtension ID MetaMask nkbihfbeogaeaoehlefnkodbefgpgknn MetaMask ejbalbakoplchlghecdalmeeeajnimhm TronLink ibnejdfjmmkpcnlpebklmnkoeoihofec Phantom bfnaelmomeimhlpmgjnjophhpkkoljpa Terra Station aiifbnbfobpmeekipheeijimdpnlpgpp Terra Station ajkhoeiiokighlmdnlakpjfoobnjinie Keplr dmkamcknogkgcdfhhbddcghachkejeap Keplr efknohjclbjfppcmniflbmnokbihoofp Math Wallet afbcbjpbpfadlkmhmclhkeeodmamcflc Math Wallet dfeccadlilpndjjohbjdblepmjeahlmm Binance fhbohimaelbohpjbbldcngcnapndodjp Binance mkinohlchpfiljfihdblneojpbpchmad TokenPocket mfgccjchihfkkindfppnaooecgfneiii Trust Wallet egjidjbpglichdcondbcbdnbeeppgdph Trust Wallet glcnemilkfekippdjmhghgakcbmkejnk OuYiWEB3 Wallet mcohilncbfahbmgdjkbpemcciiolgcge Coin98 Wallet aeachknmefphepccionboohckonoeemg Math Wallet afbcbjpbpfadlkmhmclhkeeodmamcflc Math Wallet dfeccadlilpndjjohbjdblepmjeahlmm Wombat Gaming Wallet amkmjjmmflddogmhpjloimipbofnfjih Pontem Aptos Wallet phkbamefinggmakgklpkljjmgibohnba Pontem Aptos Wallet phkbamefinggmakgklpkljjmgibohnba X Wallet bofddndhbegljegmpmnlbhcejofmjgbn Keeper Wallet lpilbniiabackdjcionkobglmddfbcjo Keeper Wallet hdpempkibblfcglmkkakkpnjmbnebaki TON Wallet nphplpgoakhhjchkkhmiggakijnkhfnd TON Wallet dgegbhgbijbhkmkacomdlogdkacokpam Leap Terra Wallet aijcbedoijmgnlmjeegjaglmepbmpkpi XDEFI Wallet hmeobnfnfcmdkdcmlblgagmfpfboieaf Maiar DeFi Wallet dngmlblcodfobpdpecaadgfbcggfjfnm Ronin Wallet fnjhmkhhmkbjkkabndcnnogagogbneec Ronin Wallet kjmoohlgokccodicjjfebfomlbljgfhk Oasis Wallet ppdadbejkmjnefldpcdjhnkpbjkikoip XCoinbase Wallet hnfanknocfeofbddgcijnmhnfnkdnaad bitkeep Wallet jiidiaalihmmhddjgbnbgdfflelocpak Argent X dlcobpjiigpikoobohmabehhmhfoodbb Coinhub jgaaimajipbpdogpdglhaphldakikgef FINX ejehodfgjhiadihgjdkgffciiepfdeep Plug cfbfdhimifdmdehjmkdobpcjfefblkjm Rabby acmacodkjbdgmoleebolmdjonilkdbch Sui Wallet opcgpfmipidbgpenhmajoajpbobppdil Temple Tezos Wallet ookjlbkiijinhpmnjffcofjonbfbgaoc Zecrey ojbpcbinjmochkhelkflddfnmcceomdi Martian Aptos Wallet efbglgofoippbgcjepnhiblaibcnclgk Petra Aptos Wallet ejjladinnckdgjemekebdpeokbikhfci Fewcha Wallet ebfidpplhabeedpnhjnobghokpiioolj Polygon Wallet bjnlkgkghpnjgkonekahiadjmgjpmdak Typhon Wallet kfdniefadaanbjodldohaedphafoffoh Nitrogen Wallet ajbieehikidekihmekmbdmdconafgkie Meteor Wallet pcndjhkinnkaohffealmlmhaepkpmgkb JustLiquidity Wallet cmbagcoinhmacpcgmbiniijboejgiahi Nami lpfcbjknijpeeillifnkikgncikgfhdo Wallet Crypto BTC ETH glbgnkopdilgbjchligmlbmhkgohggoj Carbon Wallet pnphepacpjpklpbacfmebicbgndobakn Saifu Solana Wallet ejdabmcenoflojakpkgjnilnohjoobac ZEON Wallet gbjepgaebckfidagpfeioimheabiohmg MWC Wallet ahhdnimkkpkmclgcnbchlgijhmieongp Stash Wallet incepomdpmhakfkbifbhhmbjeofohaka Avana Wallet ajnodjmfajgabkmeididajpkoobeiofn Auvitas Wallet klbgaboailigngkiifaglicepkfckppa Sentinel T4L3NT Wallet bpefpmecbepflicbncadgnhdaapjgnpk USDC Wallet pkjmoihlmlhhkahcplhijafhcioaciih UMI Wallet einhphiffjfjogeofkpclobkcgennocm Fee Chain Wallet gbjegagconancfmeejpjilopbflhdpdk KardiaChain Wallet pdadjkfkgcafgbceimcpbkalnfnepbnk UniSat Wallet ppbibelpcjmhbdihakflkdcoccbgbkpo OuYiWEB3 Wallet pbpjkcldjiffchgbbndmhojiacbgflha 其他一些功能就不分析了,对其他功能感兴趣的自己下载样本去研究一下吧。 威胁情报
总结结尾 最近几年随着WEB3流行,各种区块链加密货币层出不穷,只要有利益的地方,就有黑客的存在,全球几大黑客组织很早就已经盯上了WEB3加密货币这块,开发出很多盗取WEB3加密货币的恶意软件,这些恶意软件在VT上的检出率都比较低,大家要提前做好相应的防护,不要随意安装和使用一些加密货币软件,以及访问一些WEB3相关的项目,以防自己的加密货币被盗。 |