趨勢科技的研究人員最近發(fā)現(xiàn)了一個新出現(xiàn)的攻擊活動，該活動會傳播了一個Credential Stealer程序，其主要代碼組件是用AutoHotkey(AHK)編寫的。

攻擊者一直在尋找一種方法來在受害者計算機上執(zhí)行文件并避免不被檢測到。最常用的一種方法是涉及使用腳本語言，該腳本語言在受害者的操作系統(tǒng)中沒有內(nèi)置編譯程序，并且沒有其編譯程序或解釋程序就無法執(zhí)行。 Python，AutoIT和AutoHotkey(AHK)是此類腳本語言的一些示例。特別是，AHK是Windows的一種開源腳本語言，旨在提供簡單的鍵盤快捷鍵或熱鍵、快速的微創(chuàng)建和程序自動化，AHK還允許用戶使用其代碼創(chuàng)建“compiled” .EXE。

[[359230]]

在12月中旬，研究人員發(fā)現(xiàn)了一個傳播Credential Stealer的活動。研究人員還了解到，該活動的主要代碼部分是使用AHK編寫的。通過跟蹤活動的組成部分，研究人員發(fā)現(xiàn)其活動始于2020年初。惡意程序感染包括多個階段，這些階段從惡意Excel文件開始。反過來，此文件包含AHK腳本編譯程序可執(zhí)行文件，惡意的AHK腳本文件和Visual Basic for Applications(VBA)AutoOpen宏。完整的攻擊鏈如圖1所示。研究人員的遙測技術(shù)跟蹤了惡意程序的命令和控制(C&C)服務(wù)器，并確定這些服務(wù)器來自美國、荷蘭和瑞典。研究人員還了解到，該惡意程序一直將攻擊目標(biāo)針對美國和加拿大的金融機構(gòu)。

刪除的adb.exe和adb.ahk在此感染中起到了關(guān)鍵作用，adb.exe是合法的可移植AHK腳本編譯程序，其工作是在給定路徑下編譯和執(zhí)行AHK腳本。默認(rèn)情況下(不帶參數(shù))，此可執(zhí)行文件在同一目錄中執(zhí)行具有相同名稱的腳本。被刪除的AHK腳本是一個下載程序客戶端，負(fù)責(zé)實現(xiàn)持久性，分析受害者，下載和執(zhí)行受害者系統(tǒng)上的AHK腳本。

為了保持持久性，下載程序客戶端會在啟動文件夾中為adb.exe創(chuàng)建一個自動運行鏈接，該可移植編譯程序用于編譯和執(zhí)行AHK腳本。默認(rèn)情況下(不帶任何傳遞參數(shù))，此可執(zhí)行文件在同一目錄(本例中為adb.ahk)中執(zhí)行具有相同名稱的AHK腳本。

該腳本通過基于C驅(qū)動器的卷序列號為每個受害者生成唯一的ID來對每個用戶進行配置。然后，該惡意程序?qū)⒔?jīng)歷無限循環(huán)，并開始每五秒鐘發(fā)送一次帶有生成ID的HTTP GET請求。此ID用作其命令和控制(C&C)服務(wù)器的請求路徑，以在受感染的系統(tǒng)上檢索和執(zhí)行AHK腳本。

為了執(zhí)行命令，該惡意程序接受每個受害者不同任務(wù)的各種AHK腳本，并使用相同的C&C URL執(zhí)行這些腳本，而不是在一個文件中實現(xiàn)所有模塊并接受執(zhí)行命令的命令。通過這樣做，攻擊者可以決定上傳特定腳本以實現(xiàn)針對每個用戶或用戶組的自定義任務(wù)。這也可以防止主要組件被公開，特別是向其他研究人員或沙盒公開。實際上，盡管研究人員注意到這種攻擊早在2020年初就開始了，但沙箱仍未發(fā)現(xiàn)任何命令。這表明，攻擊要么選擇何時將命令實際發(fā)送到受感染的受害者計算機，要么C&C服務(wù)器的快速變化使其難以跟蹤。到目前為止，研究人員發(fā)現(xiàn)了五臺C&C服務(wù)器和僅兩個命令：deletecookies 和passwords。

在下載的客戶端下載組件中，研究人員觀察到一個用AHK編寫的Credential Stealer。該腳本負(fù)責(zé)從各種瀏覽器中收集憑據(jù)并將其泄漏給攻擊者。值得注意的是，這種Credential Stealer的一個變體以特定的網(wǎng)站為目標(biāo)。其中包括加拿大的主要銀行，如圖2所示。

加拿大銀行的客戶信息被泄漏

一個有趣的方面是，AHK提供了腳本，其中包含俄語的使用說明。這表明攻擊鏈的創(chuàng)建背后是一個“hack-for-hire”組織。下面幾節(jié)將描述圖1中所示的攻擊鏈的詳細(xì)信息。

惡意組件分析

如果用戶啟用宏來打開Excel文件，則VBA AutoOpen宏將刪除并通過可移植的AHK腳本編譯程序執(zhí)行AHK下載程序客戶端腳本。

Excel文件中的VBA下載程序

默認(rèn)情況下，已刪除的可移植AHK腳本編譯程序adb.exe在同一目錄中以相同名稱執(zhí)行AHK腳本。在這種情況下，adb.exe自動檢測并執(zhí)行adb.ahk腳本。

AHK下載程序腳本

如前所述，adb.ahk是一個下載程序客戶端，它負(fù)責(zé)持久性，對受害者進行性能分析以及每五秒鐘連續(xù)在受害者系統(tǒng)中下載和執(zhí)行AHK腳本。該惡意程序向其C&C服務(wù)器發(fā)送HTTP GET請求，以便在受感染的計算機中下載并執(zhí)行AHK腳本。

AHK下載程序發(fā)送的HTTP GET請求

服務(wù)器的響應(yīng)將保存到名為adb.exe〜的文件中，adb.exe〜是AHK純文本腳本，它不是可執(zhí)行文件。圖5中的HTTP GET請求路徑是受害者的唯一ID，其格式如下：

[[359231]]

重要的是要注意，在其他一些變體中，“-xl2”被替換為“-pro”。在adb.ahk執(zhí)行下載的AHK腳本之前，它首先檢查文件的末尾是否存在特定字符(“〜”)。如果找到該字符，則繼續(xù)執(zhí)行。

此外，該惡意程序還會在啟動文件夾中創(chuàng)建一個自動運行鏈接，該鏈接指向名為“GraphicsPerfSvc.lnk”的adb.exe AHK腳本編譯程序。如前所述，默認(rèn)情況下，編譯程序執(zhí)行具有相同名稱和目錄的AHK腳本。

Credential Stealer的最后一行

分析Credential Stealer

下載程序客戶端下載的一個腳本是瀏覽器憑據(jù)竊取程序，在以下部分中，研究人員將研究此惡意腳本的實現(xiàn)、函數(shù)和網(wǎng)絡(luò)通信。

一旦成功執(zhí)行，該惡意軟件通過HTTP POST請求向C&C服務(wù)器發(fā)送狀態(tài)日志 (“passwords: load”)：

惡意程序發(fā)送的狀態(tài)日志

與adb.ahk一樣，此腳本還會根據(jù)C驅(qū)動器的卷序列號為其受害者生成唯一的ID。然后，將生成的唯一受害者ID用于跟蹤感染，并且對于每個受害者始終保持相同。

然后，Credential Stealer嘗試在受害計算機上下載“sqlite3.dll”。該惡意程序使用此DLL對瀏覽器的應(yīng)用程序文件夾中的SQLite數(shù)據(jù)庫執(zhí)行SQL查詢。

Credential Stealer下載sqlite3.dll并發(fā)送執(zhí)行狀態(tài)

從上面的代碼段中，研究人員可以看到惡意程序再次檢索了C驅(qū)動器的卷序列號，并搜索了兩個硬編碼的序列號605109072和605109072。這兩個序列號已用于調(diào)試目的，退出時會腳本在消息框中顯示SendLog()函數(shù)參數(shù)。值得注意的是，此調(diào)試技術(shù)也已在此腳本的各種函數(shù)中看到。

值得注意的是，惡意程序作者使用以下開源代碼通過AHK處理SQLite數(shù)據(jù)庫。

AHK的開源SQLite類

該惡意程序的主要目的是從各種瀏覽器(例如Microsoft Edge，Google Chrome，Opera，F(xiàn)irefox和Internet Explorer(IE))中竊取憑據(jù)。為了實現(xiàn)此任務(wù)，惡意程序使用以下函數(shù)：

Credential Stealer函數(shù)

下圖演示了上述函數(shù)的執(zhí)行過程：

與Chrome，Edge和Opera瀏覽器相關(guān)的函數(shù)概述

Firefox竊取程序函數(shù)概述

IE竊取程序函數(shù)概述

該惡意程序會識別受害計算機中安裝的瀏覽器并通過SendLog()函數(shù)將其發(fā)現(xiàn)報告給其C&C服務(wù)器。如果未安裝目標(biāo)瀏覽器，則該惡意程序會將其標(biāo)記為“not_found”:

可以看出，惡意程序?qū)?ldquo;Opera_not_found”發(fā)送到C&C服務(wù)器，因為它沒有在已安裝的瀏覽器中找到Opera。

另一方面，如果目標(biāo)瀏覽器在受害計算機中，則惡意程序?qū)⑵錁?biāo)記為“ _ok”，如下圖所示：

由于Chrome是已安裝的瀏覽器之一，因此惡意程序會將“Chrome_ok”發(fā)送到C&C服務(wù)器。

以下代碼段演示了惡意程序如何搜索Chrome，Edge和Opera的登錄數(shù)據(jù)。

惡意程序會找到已安裝的瀏覽器

對于Internet Explorer密碼竊取程序，開發(fā)者從開源IE密碼信息竊取程序中借用了一些代碼，并將其轉(zhuǎn)換為AHK。

IE竊取程序

數(shù)據(jù)滲漏

最終，該惡意程序通過HTTP POST請求從受害者計算機上已安裝的瀏覽器中收集到的憑據(jù)發(fā)送給攻擊者。值得注意的是，對于每個瀏覽器，惡意程序都會嘗試解密憑據(jù)并將其以純文本的形式發(fā)送到C&C。

憑證泄漏的示例

憑證泄漏

關(guān)于這個活動的另一件有趣的事情是，下載的組件在代碼級別上組織得非常好。這些下載的組件也有主要函數(shù)和變量的注釋格式的使用說明。因此，此行為可能表明，此代碼不僅供其開發(fā)者使用，還可供其他人作為服務(wù)或獨立對象使用。

總結(jié)

惡意程序的感染包括以惡意Excel文件開始的多個階段，如果用戶啟用了宏以打開Excel文件，則VBA AutoOpen宏將刪除并通過合法的可移植AHK腳本編譯程序執(zhí)行下載程序客戶端腳本。下載程序客戶端負(fù)責(zé)實現(xiàn)持久性，分析受害人以及在受害人系統(tǒng)中下載并執(zhí)行AHK腳本。該惡意程序沒有從C&C服務(wù)器接收命令，而是下載并執(zhí)行AHK腳本來執(zhí)行不同的任務(wù)。下載的腳本是針對各種瀏覽器(例如Google Chrome，Opera，Edge等)的Credential Stealer。Credential Stealer從瀏覽器收集和解密憑據(jù)，然后通過HTTP POST請求將信息泄漏到攻擊者的服務(wù)器。

事實上，通過在受害者的操作系統(tǒng)中使用一種缺乏內(nèi)置編譯程序的腳本語言，加載惡意組件以分別完成各種任務(wù)以及頻繁更改C&C服務(wù)器，攻擊者已經(jīng)能夠從沙盒中隱藏其意圖。

IOCs

本文翻譯自：

https://www.trendmicro.com/en_us/research/20/l/stealth-credential-stealer-targets-us-canadian-bank-customers.html