限时优惠？有可能是个大坑

广告软件包正在安装名为Pirate Chick的VPN软件，然后该软件连接远程服务器下载和安装恶意有效负载，例如AZORult密码窃取木马。

由于广告软件包需要看起来合法，因此它们需要拥有合法网站具有隐私政策和用户协议，还要提供相应的优惠。

Pirate Chick VPN就是这种情况，该网站看起来与其他VPN网站一样，可以免费试用三个月，不需要信用卡。

可执行文件也很令人信服，因为它们使用的是一家英国公司ATX International Limited的证书。然而研究人员发现大多数已签名的恶意软件与英国企业相关联。

MalwareHunterTeam分析了发现的Pirate Chick样本，认为这是一种伪装成合法VPN软件的木马，在后台下载并安装恶意软件payload。

1.隐藏的恶意payload

当执行Pirate Chick VPN的安装程序时，它会将payload下载安装到%Temp%文件夹并执行它。以前，这个payload是AZORult密码窃取木马。现在payload是进程监视器，它可以在进行另一个活动时充当临时填充程序。

首次执行时，安装程序会将一系列字符串组合到进程名称中，例如ImmunityDebugger、Fiddler，Wireshark、Regshot和ProcessHacker。然后检查正在运行的进程列表，如果检测到其中一个进程，就不会安装恶意软件payload。

进程检查字符串

然后连接到https://www.piratechickvpn.com/collectStatistics.php，它根据IP地址检查访问者的国家/地区。如果用户来自俄罗斯、白俄罗斯、乌克兰或哈萨克斯坦，也不会安装恶意软件payload。

检查用户是否来自俄语国家

接下来，它检查用户是否在Vmware、VirtualBox或HyperV下运行。如果是，也不会安装恶意软件payload。

如果都不是，它将从https://www.piratechickvpn.com/wohsm.txt下载文件，对其内容执行字符替换，然后base64解码该字符串。

这将下载的文件转换为可运行的可执行文件，将其保存到%Temp%\wohsm.exe并执行。如前所述，此可执行文件目前是Sysinternals Process Monitor工具，但之前是AZORult。

替换下载文件中的字符并执行

最后， Pirate Chick VPN的主要安装程序出现了。

Pirate Chick安装

安装VPN后，会出现一个启动页面，要求用户注册。

Pirate Chick VPN注册

目前，此注册页面已不复存在，但表明了特洛伊木马伪装成VPN程序同时安装恶意payload的方式

2.通过广告软件包分发

基于Any.Run会话，研究人员发现Pirate Chick VPN是通过伪造的Adobe Flash播放器和广告软件包进行分发的。

广告软件包，特别是俄罗斯之外的广告软件包，越来越喜欢打着“优惠”的旗号来欺骗受害者。

过去，广告软件包会安装广告软件和不需要的扩展程序，但现在安装矿工、勒索软件、窃取密码的特洛伊木马以及广告点击软件。

从Any.Run流程图中可以看到，piratechickvpnsetup.exe安装了vpnclientupdate.exe，即AZORult。

Pirate Chick VPN目前没有安装密码窃取木马，但会下载并运行混淆的Procmon.exe副本。但是，攻击者可以轻松地将其切换为他们希望安装的任何恶意软件。