CryptBot最早在年被发现,近期再次爆发。最新版本的CryptBot已经显著简化,只包含信息窃取的功能,样本大小相比以前小得多。
CryptBot针对敏感的用户数据,例如浏览器登录信息、加密货币钱包、存储的信用卡信息、密码等信息。收集到的信息会被发送回CC服务器,出售获取经济利益。
破解软件网站CryptBot最近通过破解软件网站进行分发,这些网站提供的是常见游戏和其他软件的破解版。攻击者通过这种方式捆绑传播恶意软件,让受害者不知不觉中下载并执行恶意样本。
技术分析CryptBot的攻击链条起始于受害者访问失陷的页面下载SFX文件,如伪装成最新版本的AdobePhotoshop。
△网页示例随后,将名为7ZSfxMod_x86.exe的SFX文件下载到机器上。
△恶意文件解压后,名为7ZipSfx.的文件夹在%Temp%目录中创建。其中,数字会随着文件数量与解压次数变化。例如,第二次解压将会创建名为7ZipSfx.的文件夹。
△文件夹
文件夹中包含四个文件,用于下一阶段的攻击:
aeFdOLFszTz.dll,ntdll.dll的副本文件
Avevano.gif,BAT脚本
Carne.gif,混淆的AutoIT脚本
Raccontero.exe,AutoITv3可执行解释器
如上所示,两个伪装成GIF图片的文件都是恶意脚本。不同版本的CryptBot还会使用.MP3与.WMV作为扩展名。
BAT恶意脚本如下所示。脚本对安全产品(BullGuardCore和PandaCloudAntivirus)进行扫描,如果存在将会延迟执行以逃避检测。
△恶意脚本
如下所示,BAT恶意脚本解密高度混淆的AutoIT脚本Carne.gif,BAT还会将AutoIT脚本复制到虚拟内存区域运行。
△混淆脚本
使用AutoIT可执行解释器Raccontero.exe运行Carne.gif,脚本的文件名作为参数提供。
△进程启动
AutoIT进程Raccontero.exe.pif会将恶意CryptBot加载至内存中。
功能CryptBot首先在机器中检索用户与系统信息,收集的数据会存储在用户的%Temp%目录下。发送给CC服务器后,该文件即被删除。
检索的数据包括:
加密货币钱包
登录信息
表单数据
Cookie
浏览器历史记录
信用卡信息
敏感数据文件
操作系统和硬件信息
已安装程序列表
△扫描加密货币钱包
受害者的数据存储在压缩的TXT文件中,随后会被发送给rygvpi61.top/index.php。
CryptBot也包含备用的CC服务器,可以下载其他恶意软件。
△恶意样本
最新变种最新版本的CryptBot于年初在野被发现,攻击者只保留了数据泄露相关的核心功能,如反沙盒等功能都删除了。
最新版本的CryptBot不会窃取受害者的屏幕截图,也不会自行清除恶意文件。
新版本使用的混淆方法也与CryptBot旧版本不同,现在的恶意BAT脚本使用了更复杂的混淆来阻止研究人员分析。
新版本也更新了对最新版本Chromev96的窃密,覆盖Chrome的全部版本。
结论目前为止,只发现CryptBot针对Windows设备发起攻击。可能是与投递方式与破解软件有关,这在MacOS与Linux上并不常见。
攻击者将恶意样本缩小了一半,这样可以简化攻击进行更频繁、更快速的感染。
Yaraimport"pe"ruleCryptBot{meta:description="DetectsCryptBotThroughImphash"author="BlackBerryThreatResearchTeam"date="-02-26"license="ThisYararuleisprovidedundertheApacheLicense2.0(