竊取比特幣的危險惡意程序已棲身Download.com多年

下一個故事

ESET研究人員發現,知名網站download.cnet.com無意間刊登了竊取比特幣的多款內置木馬程序

作者:Michal Poslušný與Peter Kálnai 發文時間:2018年3月14日 – 臨晨02:00

現如今,如您咨詢安全專家保障上網安全的基本策略,他很可能給出的最重要建議之一就是,只從正規網站上下載軟件。但有時,即使是這樣基本而又顯而易見的建議,也無法保證您不會感染惡意程序。我們已在download.cnet.com上發現了三款木馬應用,而根據Alexa網站訪問量排名,這可是全球訪客最多的軟件發布網站之一(排名第163位)。


來自Reddit論壇子板塊/r/monero的用戶Crawsh便是其中的一名受害者,他給我們講述了自己的經歷。幸運的是,對他而言,故事的最終結局卻是圓滿的。


起初他發現有些異常,當他習慣性地向另一地址欄復制粘貼門羅幣地址時,突然開始收到該地址無效的提示。作為一名警惕心強、富有經驗的用戶,很快他便開始懷疑有惡意程序在作祟 – 他的懷疑是正確的:通過對具體原因的進一步調查,最終發現問題的起因的確是惡意程序。復制粘貼的錢包地址,在剪貼板中被惡意程序攔截,並被攻擊者采用硬編碼寫入的比特幣地址所替換。幸運的是,對於Crawsh而言,被替換的地址只針對比特幣有效,將門羅幣地址粘貼進地址欄後便會收到無效提示,幸好他在發送自己的門羅幣之前,被目標應用程序檢測到 – 當然很多其他受害者可沒有這麽幸運,他們感染了同一惡意程序,無意間復制粘貼了自己的比特幣地址,從而導致迄今為止攻擊者已合計收入8.8個比特幣。按照2018年3月13日的市價來換算,其總額約為80,000美元。最終,Crawsh在Reddit子板塊/r/monero上發帖,講述了自己的經歷,並引起了ESET惡意程序研究人員的註意,後者開始著手對問題內幕展開調查,並迅速發現了一些頗有價值的資訊。

通過Google搜索攻擊者的比特幣地址,我們找到了部分受害者。例如,曾有人發表過網站被黑的博文。雖與上文惡意程序竊取者無關,但他在博文中提到,原比特幣地址被替換為惡意程序作者自己的地址,見圖2。據此可以判斷,博文作者有可能已感染比特幣竊取木馬。




傳播途徑


我們發現,令Crawsh染毒的源頭是,他從download.com上下載的一款名為Win32 Disk Imager的內置木馬軟件。自2016年5月2日以來,該木馬軟件一直棲身於此網站。

ESET將該木馬檢測為MSIL/TrojanDropper.Agent.DQJ的變種之一。上周該木馬從CNET網站的下載數量為311次,合計下載總數為4500次。

後來在調查過程中我們發現,Win32 Disk Imager並非download.com上所刊登的唯一一款內置木馬軟件。我們了解到,來自同一作者的至少其他兩款軟件。第一款名為CodeBlocks,已被CNET屏蔽,內含同一木馬機制MSIL/ClipBanker.DF。CodeBlocks是一款知名的開源集成開發環境包(IDE),被很多C/C++開發人員所使用。


另一款則是MinGW-w64,在我們調查之初便可下載。其中包含多種惡意機制,既有比特幣竊取木馬也有病毒。MinGW基本上就是GCC(GNU免費軟件匯編套裝)的Microsoft Windows移植版。



兩款軟件下載量的統計數據,詳見下圖(直接從download.com網站獲取的統計數據)。註意在被CNET下架後,CodeBlocks近期下載量為零。確切下架日期無從知曉,但根據遙感數據顯示,下架時間約為2017年3月份前後。


接到ESET通知後,CNET迅速從其官網上移除了上述內置木馬軟件。


機制分析

木馬釋放(MSIL/TrojanDropper.Agent.DQJ)

內置木馬軟件的第一階段是利用非常簡單的釋放工具,首先從資源包中提取相應應用軟件(Win32DiskImager、CodeBlocks、MinGW)的合法安裝包及惡意載荷,將兩個文件存儲在%temp%文件夾中並執行。


惡意程序在剪貼板中替換錢包(MSEL/ClipBanker.DF)
惡意載荷在簡單程度上與釋放工具非常接近 – 程序將自身復制到%appdata%\Dibifu_8\go.exe路徑,並在註冊表中添加運行鍵值,以確保持續加載。


剪貼板中替換比特幣地址,是通過上圖中簡單的4行代碼實現的,即通過正則表達式查找比特幣地址,並將其替換為攻擊者采用硬編碼形式寫入的錢包地址:1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj。

攻擊者並未費太多精力去隱藏其用意,因為即便是釋放工具和ClipBanker的調試符路徑都使其本意昭然若揭。據我們判斷,“SF to CNET”代表SourceForce to CNET,因為所有三款應用程序都在源代碼程序包中不存在惡意進程。

C:\Users\Ngcuka\Documents\V\SF to CNET\Btc Clipboard Rig\WindowsFormsApplication1\obj\x86\Release\WindowsFormsApplication1.pdb


還有幾項攻擊特征,值得受害者查找。首先是,在臨時文件夾中,會將惡意載荷和木馬程序包以y3_temp008.exe及Win32DiskImage_0_9_5_install.exe名義釋放並執行。


替換剪貼板中錢包地址的另一款惡意程序(Win32/ClipBanker.DY)

該惡意載荷由內置木馬的MinGW-w64應用軟件釋放。這是略微更復雜的一款變種,使用了類似的常規錢包搜索表達式:


此外,其中還含有采用資源加密形式的更多惡意組件,配套攻擊者名下約達3500個比特幣地址,以密鑰之中的前三個字符為基礎,用以通過類似地址替換受害者的錢包地址(不完整截圖)。


該比特幣竊取工具所內置的更多惡意載荷,也都有PDB路徑。其中之一就是:
C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb。用戶名與第一款比特幣竊取工具PDB路徑中的用戶名相同。至此可以認定,所有上述惡意程序樣本均由同一人開發。


染毒系統殺毒方法

  • 從下載文件夾路徑中,刪除已下載的安裝包win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) from your Download folder location

  • 刪除 exe in the %appdata%\dibifu_8\ 文件夾中的可執行文件 (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)

  • 刪除 y3_temp008.exe from %temp%\ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, resp. C758F832935A30A865274AA683957B8CBC65DFDE )

  • 從註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中,刪除ScdBcd鍵值。

我們在調查過程中通知了CNET,後者迅速從官網上刪除了內置木馬的應用軟件,避免了木馬的進一步傳播。

如您懷疑自己已經染毒,請安裝防毒軟件以便自動查殺木馬文件。針對剪貼板替換性攻擊的最有效應對建議是,交易過程中務必仔細核對所復制的地址!

輸入輸出控制:

內置木馬的應用程序:

win32diskimager.exe0B1F49656DC5E4097441B04731DDDD02D4617566MSIL/TrojanDropper.Agent.DQJ trojan
codeblocks.exe7242AE29D2B5678C1429F57176DDEBA2679EF6EBMSIL/ClipBanker.EY trojan
mingw-w64-install.exe590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918MSIL/TrojanDropper.Agent.DQJ trojan


ClipBankers木馬:

mingw-w64 payload #1BE33BDFD9151D0BC897EE0739F1137A32E4437D9Win32/ClipBanker.DY trojan
mingw-w64 payload #22EABFFA385080A231156420F9F663DC237A9843BWin32/ClipBanker.DY trojan
mingw-w64 payload #37B1E9A6E8AF6D24D13F6C561399584BFBAF6A2B5Win32/ClipBanker.DY trojan
codeblocks.exe payloadE65AE5D0CE1F675962031F16A978F582CC67D3D5MSIL/ClipBanker.AB trojan
win32diskimager.exe payloadE0BB415E858C379A859B8454BC9BA2370E239266MSIL/ClipBanker.DF trojan

 
鳴謝Reddit論壇上的Matthieu Faou、Alexis Dorais-Joncas、David Jagoš、Robert Šuman、Vladislav Straka以及/u/Crawsh為本次調查所提供的協助。

 

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。


關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。