E安全4月13日讯FireEye发布报告称追踪到一起特别的网络攻击活动,该活动过去几个月一直利用被感染的网站传播虚假的软件更新,以便在受害者设备上安装NetSupportManager远程访问工具(RAT),获取设备信息。
利用AdobeFlash等虚假的软件更新
NetSupportManager是一款商用RAT,管理员可通过这款RAT远程访问客户端计算机。但是,研究人员发现恶意攻击者却在滥用这款RAT,将其悄悄安装在受害者的电脑上,从而未经授权访问设备。
恶意攻击者滥用被感染的网站传播虚假的AdobeFlash、Chrome和FireFox,一旦用户接受更新,便会下载恶意JavaScript文件。
本文源自E安全虚假的软件更新消息弹出窗口
黑客怎样获取设备信息?
FireEye指出,JavaScript恶意软件会收集系统的基本信息并发送至服务器,再从服务器接收其它命令,之后执行JavaScript命令以传递最终的Payload。这个名为Update.js的JavaScript在wscript.exe的帮助下从%AppData%执行。
这款恶意软件的开发人员对最初的JavaScript进行了多层模糊处理,并设法使得针对第二个JavaScript文件的分析更加困难。通过使用调用和被调用函数代码来获得解密密钥,攻击者可以确保,一旦分析师添加或删除内容,脚本不会检索密钥导致异常而终止。
初始执行后,JavaScript便会开启与命令与控制(CC)服务器的连接,并以编码格式发送名为tid的值和系统的当前日期。之后,这个脚本会解码服务器响应,并将其作为一个名为step2的函数执行。这个函数负责收集各种系统信息,并对其编码发送至服务器,收集的信息包括:
设备体系架构、计算机名称、用户名、处理器、操作系统、域、制造商、型号、BIOS版本、反间谍软件产品、反病毒产品、MAC地址、键盘、定点设备、显示控制器配置和进程列表。
此后,服务器会用编码内容作出响应:名为step3函数和下载并执行最终payload的Update.js。
这款软件利用PowerShell从服务器下载多个文件,包括7zip独立可执行文件、包含这款RAT并设置了密码保护的归档文件以及批处理脚本,以此在目标系统上安装NetSupport客户端。
批处理脚本还可禁用Windows错误报告和应用程序兼容性,将远程控制客户端可执行文件添加到防火墙的许可程序列表中,添加运行注册表或将快捷文件下载到启动文件夹以维持持久性,隐藏文件,删除Artefact,并执行该RAT。研究人员还发现,恶意软件会定期更新这个脚本。
本文源自E安全虚假的软件更新消息弹出主要瞄准美国、德国和荷兰的设备
在NetSupportManager的帮助下,攻击者可远程访问被感染的系统,传输文件,启动应用程序,获取系统的定位,并远程检索目录和系统信息。最终的JavaScript还下载了包含IP地址列表的txt文件,这些地址可能是被感染的系统。大部分这些IP地址属于美国、德国和荷兰。
注:本文由E安全编译报道,转载请注明原文地址