FireEye 发布报告称追踪到一起特别的网络攻击活动,该活动过去几个月一直利用被感染的网站传播虚假的软件更新,以便在受害者设备上安装 NetSupport Manager 远程访问工具(RAT),获取设备信息。
利用Adobe Flash等虚假的软件更新
NetSupport Manager 是一款商用 RAT,管理员可通过这款 RAT 远程访问客户端计算机。但是,研究人员发现恶意攻击者却在滥用这款 RAT,将其悄悄安装在受害者的电脑上,从而未经授权访问设备。
恶意攻击者滥用被感染的网站传播虚假的 Adobe Flash、Chrome 和 FireFox,一旦用户接受更新,便会下载恶意 JavaScript 文件。
虚假的软件更新消息弹出窗口
黑客怎样获取设备信息?
FireEye 指出,JavaScript 恶意软件会收集系统的基本信息并发送至服务器,再从服务器接收其它命令,之后执行 JavaScript 命令以传递最终的 Payload。这个名为 Update.js 的 JavaScript 在 wscript.exe 的帮助下从 %AppData% 执行。
这款恶意软件的开发人员对最初的 JavaScript 进行了多层模糊处理,并设法使得针对第二个 JavaScript 文件的分析更加困难。通过使用调用和被调用函数代码来获得解密密钥,攻击者可以确保,一旦分析师添加或删除内容,脚本不会检索密钥导致异常而终止。
初始执行后,JavaScript 便会开启与命令与控制(C&C)服务器的连接,并以编码格式发送名为 tid 的值和系统的当前日期。之后,这个脚本会解码服务器响应,并将其作为一个名为 step2 的函数执行。这个函数负责收集各种系统信息,并对其编码发送至服务器,收集的信息包括:
设备体系架构、计算机名称、用户名、处理器、操作系统、域、制造商、型号、BIOS 版本、反间谍软件产品、反病毒产品、MAC 地址、键盘、定点设备、显示控制器配置和进程列表。
此后,服务器会用编码内容作出响应:名为 step3 函数和下载并执行最终 payload 的 Update.js。
这款软件利用 PowerShell 从服务器下载多个文件,包括 7zip 独立可执行文件、包含这款 RAT 并设置了密码保护的归档文件以及批处理脚本,以此在目标系统上安装 NetSupport 客户端。
批处理脚本还可禁用 Windows 错误报告和应用程序兼容性,将远程控制客户端可执行文件添加到防火墙的许可程序列表中,添加运行注册表或将快捷文件下载到启动文件夹以维持持久性,隐藏文件,删除 Artefact,并执行该 RAT。研究人员还发现,恶意软件会定期更新这个脚本。
主要瞄准美国、德国和荷兰的设备
在 NetSupport Manager 的帮助下,攻击者可远程访问被感染的系统,传输文件,启动应用程序,获取系统的定位,并远程检索目录和系统信息。最终的 JavaScript 还下载了包含 IP 地址列表的 txt 文件,这些地址可能是被感染的系统。大部分这些 IP 地址属于美国、德国和荷兰。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。