软件破解补丁隐藏窃密木马,毒害全球数百万网民

2020-07-10 来源:原创 作者:腾讯电脑管家
【文章摘要】近期检测到大量用户感染CracxStealer窃密木马,病毒源于境外某个软件破解补丁下载站(cracx[.]com)。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马,木马运行后会窃取用户浏览器保存的账号密码、数字加密币的钱包账号以及其他机密信息,腾讯电脑管家可检测拦截该病毒,实时保护机密信息安全。

一、背景

病毒发现源于境外某个软件破解补丁下载站(cracx[.]com),根据CracxStealer窃密木马运营者的页面统计数据,该网站单个破解补丁下载次数超过8万次,而该网站提供的常用软件(包括许多大型商业软件)破解补丁有数百种之多,全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截:


CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码,搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息,以及获取电脑IP定位、操作系统版本、硬件和软件信息,桌面截屏,然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com,腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”,腾讯电脑管家提供风险提醒和下载保护,并支持查杀该病毒。



二、安全建议

腾讯电脑管家个人版小团队版均可检测拦截该窃密木马,实时保护用户账号密码、数字加密币的钱包账号等机密信息,用户可使用病毒查杀功能及时检查电脑安全状态。



三、样本分析

我们选择该站提供的一个大型商业软件破解补丁为例进行分析:

CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具,在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示,付费使用版本每年费用为399美元,折合人民币约2600/年。


网民一般会先从官网下载一个试用版安装,然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip,下载页面显示该程序已有超过8万次的下载。


该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证,套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后,会依次经过以下URL跳转,并最终通过https[:]//filedl7.ga下载文件。

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ (路径随机生成)

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ (路径随机生成)


下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5。

使用(P@$$ izz) 44556677.txt中提示的密码44556677setup_installer.zip进行解压,可以得到NSIS打包的安装包程序setup_installer.exe


setup_installer.exe是病毒母体,首先通过插件UserInfo.dll获取当前进程用户账户,如果不是Admin,则利用UAC.dll提升到管理员权限。


然后释放窃密木马11.exerokger.exe"$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动,还会执行脚本11.vbs,在其中通过Get请求短链接https[:]//iplogger.org/1yzUq7,短链接在不同的样本中会有所不同,由于目前访问都返回失败,所以暂不清楚此网络请求的目的。


窃密木马部分代码添加了VMP壳进行保护。窃密木马从浏览器配置文件、数据库文件、Cookie中获取登录账号密码,支持国内外多款浏览器包括ChromeComodo DragonOperaChromiumCocCoc360_extreme_explorer torchslimjetcent_browserbrave vivaldi ccleaner_browseravast_secure_browserFirefox


搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。查询本机IPIP所属位置、运营商属性等信息保存至随机名txt文件,以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt

拍摄屏幕截图并保存为screenshot.jpg。将搜集到的所有信息打包为随机名zip压缩包文件,存放至ProgramData目录下。


最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php

IOCs

Domain

mdpoter03.top

urep03.top

saytt03.top

URL

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/

https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/

https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/

http[:]//mdpoter03.top/index.php

http[:]//urep03.top/index.php

http[:]//saytt03.top/index.php

https[:]//iplogger.org/1yzUq7

md5

Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38

RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip

7ed9a320c44d119e3d596efa218deab8

ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip

b366c329bcf624214bdfc23d7bedcb78

CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip

0083d7942c28e7a252dea391607917a5

installer_setup.exe

45ec40f05b5df3e21b6aad950da23bb1

installer_setup.exe

c5e4d08164364790eca5b3e8cf64ff79

installer_setup.exe

ada1ffc753347613cee9bcddac9763a1

installer_setup.exe

29bd44a4ed92568ddf67327ece8ace17

9.exe

d7997aeb03bfa17ae03e6ee85a5afadd

9.exe

e4c1146393fe67ccbb4789eba8db6b31

09.exe

18f235a24f4a7cfd2d0a5db61aac5921

caram.exe

ad8f303e25c56bc0b2c9a36c0ee37a3e

011.exe

b01ea80301d452d6b1337fce7cae4a40

11.exe

59cab6695a858e586be0dc0c3c781f6c

rokger.exe

a73ba165224417ec58fa88158dad6026

010.exe

c3e3127dd3185af88d40aa019c196694

10.exe

3bdef68d720360f362cdeec0463c282a

mertol.exe

8d5135bde449bc826b415043a03ebcce

11.vbs

2ecc0c2e30c22359b0f3e20df9b3af65

10.vbs

6ee3b4ca9f4e22a0d2b5bfbb20b1b322

9.vbs

732d3599f7f4aac60f9d08e487e62bf5

电脑管家 V16

全新上线 更轻更快