揭秘:西班牙制造的针对性攻击木马Machete


发布人:admin分类:网络安全浏览量:30发布时间:2017-12-12

简介
前一段时间,卡巴斯基实验室的一位拉丁美洲的客户与我们联系,说他去了中国,他怀疑他的机器被感染了未知的而且无法被检测到的恶意软件(FreeBuf小编:又黑我中国……)。在协助客户的同时,我们发现在他的系统中发现了一个非常有趣的文件,该文件与中国毫无关系,并没有中文编程的痕迹。第一眼看上去,它伪装成一个Java相关的应用程序,但快速分析后,我们发现很明显这不仅仅只是一个简单的Java文件。这是有针对性的攻击,我们称之为“Machete”。

什么是Machete?
“Machete”在西班牙语中指“有针对性的攻击活动”。我们认为这次攻击始于2010年,并于2012年更新完善。而现在攻击仍然非常活跃。

该恶意软件的功能:

记录键盘敲击
通过计算机麦克风获取音频
屏幕截图
获取地理位置数据
通过网络摄像头拍照
将文件复制到远程服务器
将文件复制到一个特殊的USB设备中
劫持剪贴板、获取剪贴板内容

Machete的攻击目标

大多数受害者都位于委内瑞拉,厄瓜多尔,哥伦比亚,秘鲁,俄罗斯,古巴,西班牙,等等。在某些情况下,诸如俄罗斯,目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物,其中包括情报部门,军队,驻外使馆和政府机构。

Machete如何运行?

该恶意软件是通过社会工程技术,包括通过鱼叉式邮件钓鱼和受感染的虚假博客传播的。我们没有发现软件利用了零日漏洞。无论是攻击者和受害者似乎都是讲西班牙语的。

本次调查期间,我们还发现了许多钓鱼时所使用的文件。这些文件都是些ppt,一旦打开即开始在目标系统安装恶意软件。以下是PowerPoint附件的名字:

Hermosa XXX.pps.rar
Suntzu.rar
El arte de la guerra.rar
Hot brazilian XXX.rar

这些文件实际上是Nullsoft的自解压文件,都是2008年编译的。这些可执行文件包含Python代码,还有必要的Python库,以及PowerPoint文件。结果就是这些文件非常的大,超过了3MB。

以下是PPT文件的截图:

这些恶意软件中包含了Python代码。这是非常奇怪的,除了方便编程,这对攻击者没有任何好处。由于这些软件是基于Windows库的,程序不能够跨平台。然而,我们发现,攻击者在程序编写中做好了针对Mac OS X和Unix的准备。除了Windows组件之外,我们还发现了一个手机(Android)的组件。

无论是攻击者和受害者都讲西班牙语,因为我们在客户端的源代码和Python代码中一直看到的都是西班牙语。

被感染的迹象

以下代码片段,是在用来感染用户的网站的HTML代码中发现的:

注:感谢来自Korelogic的Tyler Hudak指出,以上的HTML代码是拷贝自SET(The Social Engineering Toolkit)的。
另外以下链接指向到病毒: 
hxxp://name.domain.org/nickname/set/Signed_Update.jar

域名
以下病毒所使用到的域名。任何与域名的连接都非常可疑。

java.serveblog.net
agaliarept.com
frejabe.com
grannegral.com
plushbr.com
xmailliwx.com
blogwhereyou.com
grannegral.com

感染文件

MD5                                    文件名
61d33dc5b257a18eb6514e473c1495fe     AwgXuBV31pGV.eXe
b5ada760476ba9a815ca56f12a11d557     EL ARTE DE LA GUERRA.exe
d6c112d951cb48cab37e5d7ebed2420b     Hermosa XXX.rar
df2889df7ac209e7b696733aa6b52af5     Hermosa XXX.pps.rar
e486eddffd13bed33e68d6d8d4052270     Hermosa XXX.pps.rar
e9b2499b92279669a09fef798af7f45b     Suntzu.rar
f7e23b876fc887052ac8e2558f0d6c38     Hot Brazilian XXX.rar
b26d1aec219ce45b2e80769368310471     Signed_Update.jar

病毒的感染痕迹

1、创建Java Update.lnk并指向appdata/Jre6/java.exe
2、恶意软件安装在appdata/ MicroDes/
3、创建进程Microsoft_up

卡巴斯基实验室已将此病毒命名为Trojan-Spy.Python.Ragua。

[Via Securelist, JohnChu翻译,]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21464401(PV) 页面执行时间:161.669(MS)
  • xml
  • 网站地图