"微信支付"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼
12月1日爆發的"微信支付"勒索病毒正在快速傳播,感染的電腦數量越來越多。病毒團伙入侵并利用豆瓣的C&C服務器,除了鎖死受害者文件勒索贖金(支付通道已經關閉),還大肆偷竊支付寶等密碼。首先,該病毒巧妙地利用"供應鏈污染"的方式進行傳播,目前已經感染數萬臺電腦,而且感染范圍還在擴大;
一、概述
其次,該病毒還竊取用戶的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度 云盤 、 京東 、QQ賬號。其次,該病毒還竊取用戶的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號。
火絨團隊強烈建議被感染用戶,除了殺毒和解密被鎖死的文件外,盡快修改上述平臺密碼。
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s4.51cto.com/oss/201812/04/4d2153f93234925a0dca8dbc0748b97a.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
據火絨安全團隊分析,病毒作者首先攻擊軟件 開發 者的電腦,感染其用以編程的"易語言"中的一個模塊,導致開發者所有使用"易語言"編程的軟件均攜帶該勒索病毒。廣大用戶下載這些"帶毒"軟件后,就會感染該勒索病毒。整過傳播過程很簡單,但污染"易語言"后再感染軟件的方式卻比較罕見。截止到12月3日,已有超過兩萬用戶感染該病毒,并且被感染電腦數量還在增長。
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s3.51cto.com/oss/201812/04/5c7e173bd325e9ccb5bd860ed061ae16.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
此外,火絨安全團隊發現病毒制作者利用豆瓣等平臺當作下發指令的C&C服務器,火絨安全團隊通過解密下發的指令后,獲取其中一個病毒后臺服務器,發現病毒作者已秘密收取數萬條淘寶、天貓等賬號信息。
二、樣本分析
近期,火絨追蹤到使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt在12月1日前后大范圍傳播,感染用戶數量在短時間內迅速激增。通過火絨溯源分析發現,該病毒之所以可以在短時間內進行大范圍傳播,是因為該病毒傳播是利用供應鏈污染的方式進行傳播,病毒運行后會感染易語言核心靜態庫和精易模塊,導致在病毒感染后編譯出的所有易語言程序都會帶有病毒代碼。供應鏈污染流程圖,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s5.51cto.com/oss/201812/04/001e76de7764d37dd84086dfc822ad00.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
編譯環境被感染后插入的惡意代碼
在易語言精易模塊中被插入的易語言惡意代碼,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s1.51cto.com/oss/201812/04/7b66d29cde57b7bfd14f6a7c6b036d48.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
在被感染的編譯環境中編譯出的易語言程序會被加入病毒下載代碼,首先會通過HTTP請求獲取到一組加密的下載配置,之后根據解密出的網址下載病毒文件到本地執行。如上圖紅框所示,被下載執行的是一組"白加黑"惡意程序,其中svchost為前期報告中所提到的白文件,svchost運行后會加載執行libcef.dll中所存放的惡意代碼。下載執行病毒相關代碼,如下圖所示:
下載病毒文件相關代碼
病毒代碼中請求網址包含一個豆瓣鏈接和一個github鏈接,兩者內容相同,僅以豆瓣鏈接為例。如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s2.51cto.com/oss/201812/04/fec9ab6b4cbf2a7f194587c242112cde.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
上述數據經過解密后,可以得到一組下載配置。如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s2.51cto.com/oss/201812/04/b4853a0441cd9b829ab3a36a009aaa3f.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
解密相關代碼,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s3.51cto.com/oss/201812/04/9736ddb9c9974149644ab85ca4a9b007.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
通過配置中的下載地址,我們可以下載到數據文件,數據文件分為兩個部分:一個JPG格式圖片文件和病毒Payload數據。數據文件,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s1.51cto.com/oss/201812/04/91b40038a28e231a47fa305468de56cc.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
libcef.dll
libcef.dll中的惡意代碼被執行后,首先會請求一個豆瓣網址鏈接( https://www.douban.com/note/69 *56/)。與被感染的易語言編譯環境中的病毒插入的病毒代碼邏輯相同,惡意代碼可以通過豆瓣鏈接存放的數據,該數據可以解密出一組下載配置。解密后的下載配置,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s5.51cto.com/oss/201812/04/f62aad3ff2a43a41d3523db9af5c6531.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
下載代碼,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s3.51cto.com/oss/201812/04/996f829c6127389c16c3f6fc1d66b636.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
下載截取后的有效惡意代碼數據中,包含有用于感染易語言編譯環境的易語言核心靜態庫和精易模塊。除此之外,下載的Payload文件中還包含有一個Zip壓縮包,配合在病毒代碼中所包含的通用下載邏輯,此處的Zip壓縮包可能被替換為任意病毒程序。因為病毒作者使用供應鏈污染的傳播方式,導致相關病毒感染量呈指數級增長。相關代碼,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s5.51cto.com/oss/201812/04/ccb17835b125ef5005143a1f9a90d96d.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
通過篩查豆瓣鏈接中存放的加密下載配置數據,我們發現在另外一個豆瓣鏈接( https://www.douban.com/note/69 *26/)中存放有本次通過供應鏈傳播的勒索病毒Bcrypt。下載配置,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s3.51cto.com/oss/201812/04/976c3987bc91cd8b12189933e1a6e351.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
我們在病毒模塊JPG擴展名后,用"_"分割標注出了勒索病毒被釋放時的實際文件名。最終被下載的勒索病毒壓縮包目錄情況,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s1.51cto.com/oss/201812/04/04a5107eae4d7ac20e362629786ed9e0.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
三、病毒相關數據分析
火絨通過病毒作者存放在眾多網址中的加密數據,解密出了病毒作者使用的兩臺MySQL服務器的登錄口令。我們成功登錄上了其中一臺服務器,通過訪問 數據庫 ,我們發現通過該供應鏈傳播下載的病毒功能模塊:至少包含有勒索病毒、盜號木馬、色情播放軟件等。
我們還在服務器中發現被盜號木馬上傳的鍵盤記錄信息,其中包括:淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號等共計兩萬余條。
我們還在服務器中發現了Bcrypt病毒上傳的勒索感染數據,通過僅對一臺服務器數據的分析,我們統計到的病毒感染量共計23081臺(數據截至到12月3日下午)。
日均感染量,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s4.51cto.com/oss/201812/04/b291180b1bd633495999a463327caf6f.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
感染總量統計圖,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s1.51cto.com/oss/201812/04/2a6224efc74b1a55867f23f2163887aa.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
現火絨已經可以查殺此類被感染的易語言庫文件,請裝有易語言編譯環境的開發人員下載安裝火絨安全軟件后全盤掃描查殺。查殺截圖,如下圖所示:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s3.51cto.com/oss/201812/04/66842bb1117442a4f9e126775497bcf0.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
四、 附錄
樣本SHA256:
![\"微信支付\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼](https://s2.51cto.com/oss/201812/04/69c334d4f974b10fb39b4cfbf2063149.jpg "\\"微信支付\\"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼")
