限时优惠?有可能是个大坑
广告软件包正在安装名为Pirate Chick的VPN软件,然后该软件连接远程服务器下载和安装恶意有效负载,例如AZORult密码窃取木马。
由于广告软件包需要看起来合法,因此它们需要拥有合法网站具有隐私政策和用户协议,还要提供相应的优惠。
Pirate Chick VPN就是这种情况,该网站看起来与其他VPN网站一样,可以免费试用三个月,不需要信用卡。
可执行文件也很令人信服,因为它们使用的是一家英国公司ATX International Limited的证书。然而研究人员发现大多数已签名的恶意软件与英国企业相关联。
MalwareHunterTeam分析了发现的Pirate Chick样本,认为这是一种伪装成合法VPN软件的木马,在后台下载并安装恶意软件payload。
1.隐藏的恶意payload
当执行Pirate Chick VPN的安装程序时,它会将payload下载安装到%Temp%文件夹并执行它。以前,这个payload是AZORult密码窃取木马。现在payload是进程监视器,它可以在进行另一个活动时充当临时填充程序。
首次执行时,安装程序会将一系列字符串组合到进程名称中,例如ImmunityDebugger、Fiddler,Wireshark、Regshot和ProcessHacker。然后检查正在运行的进程列表,如果检测到其中一个进程,就不会安装恶意软件payload。
进程检查字符串
然后连接到https://www.piratechickvpn.com/collectStatistics.php,它根据IP地址检查访问者的国家/地区。如果用户来自俄罗斯、白俄罗斯、乌克兰或哈萨克斯坦,也不会安装恶意软件payload。
检查用户是否来自俄语国家
接下来,它检查用户是否在Vmware、VirtualBox或HyperV下运行。如果是,也不会安装恶意软件payload。
如果都不是,它将从https://www.piratechickvpn.com/wohsm.txt下载文件,对其内容执行字符替换,然后base64解码该字符串。
这将下载的文件转换为可运行的可执行文件,将其保存到%Temp%\wohsm.exe并执行。如前所述,此可执行文件目前是Sysinternals Process Monitor工具,但之前是AZORult。
替换下载文件中的字符并执行
最后, Pirate Chick VPN的主要安装程序出现了。
Pirate Chick安装
安装VPN后,会出现一个启动页面,要求用户注册。
Pirate Chick VPN注册
目前,此注册页面已不复存在,但表明了特洛伊木马伪装成VPN程序同时安装恶意payload的方式
2.通过广告软件包分发
基于Any.Run会话,研究人员发现Pirate Chick VPN是通过伪造的Adobe Flash播放器和广告软件包进行分发的。
广告软件包,特别是俄罗斯之外的广告软件包,越来越喜欢打着“优惠”的旗号来欺骗受害者。
过去,广告软件包会安装广告软件和不需要的扩展程序,但现在安装矿工、勒索软件、窃取密码的特洛伊木马以及广告点击软件。
从Any.Run流程图中可以看到,piratechickvpnsetup.exe安装了vpnclientupdate.exe,即AZORult。
Pirate Chick VPN目前没有安装密码窃取木马,但会下载并运行混淆的Procmon.exe副本。但是,攻击者可以轻松地将其切换为他们希望安装的任何恶意软件。