Created: 2018-04-11 12:00:00

     

ESET研究人員發現，知名網站download.cnet.com無意間刊登了竊取比特幣的多款內置木馬程序

作者：Michal Poslušný與Peter Kálnai 發文時間：2018年3月14日 – 臨晨02:00

現如今，如您咨詢安全專家保障上網安全的基本策略，他很可能給出的最重要建議之一就是，只從正規網站上下載軟件。但有時，即使是這樣基本而又顯而易見的建議，也無法保證您不會感染惡意程序。我們已在download.cnet.com上發現了三款木馬應用，而根據Alexa網站訪問量排名，這可是全球訪客最多的軟件發布網站之一（排名第163位）。

來自Reddit論壇子板塊/r/monero的用戶Crawsh便是其中的一名受害者，他給我們講述了自己的經歷。幸運的是，對他而言，故事的最終結局卻是圓滿的。

起初他發現有些異常，當他習慣性地向另一地址欄復制粘貼門羅幣地址時，突然開始收到該地址無效的提示。作為一名警惕心強、富有經驗的用戶，很快他便開始懷疑有惡意程序在作祟 – 他的懷疑是正確的：通過對具體原因的進一步調查，最終發現問題的起因的確是惡意程序。復制粘貼的錢包地址，在剪貼板中被惡意程序攔截，並被攻擊者采用硬編碼寫入的比特幣地址所替換。幸運的是，對於Crawsh而言，被替換的地址只針對比特幣有效，將門羅幣地址粘貼進地址欄後便會收到無效提示，幸好他在發送自己的門羅幣之前，被目標應用程序檢測到 – 當然很多其他受害者可沒有這麽幸運，他們感染了同一惡意程序，無意間復制粘貼了自己的比特幣地址，從而導致迄今為止攻擊者已合計收入8.8個比特幣。按照2018年3月13日的市價來換算，其總額約為80,000美元。最終，Crawsh在Reddit子板塊/r/monero上發帖，講述了自己的經歷，並引起了ESET惡意程序研究人員的註意，後者開始著手對問題內幕展開調查，並迅速發現了一些頗有價值的資訊。

通過Google搜索攻擊者的比特幣地址，我們找到了部分受害者。例如，曾有人發表過網站被黑的博文。雖與上文惡意程序竊取者無關，但他在博文中提到，原比特幣地址被替換為惡意程序作者自己的地址，見圖2。據此可以判斷，博文作者有可能已感染比特幣竊取木馬。

傳播途徑

我們發現，令Crawsh染毒的源頭是，他從download.com上下載的一款名為Win32 Disk Imager的內置木馬軟件。自2016年5月2日以來，該木馬軟件一直棲身於此網站。

ESET將該木馬檢測為MSIL/TrojanDropper.Agent.DQJ的變種之一。上周該木馬從CNET網站的下載數量為311次，合計下載總數為4500次。

後來在調查過程中我們發現，Win32 Disk Imager並非download.com上所刊登的唯一一款內置木馬軟件。我們了解到，來自同一作者的至少其他兩款軟件。第一款名為CodeBlocks，已被CNET屏蔽，內含同一木馬機制MSIL/ClipBanker.DF。CodeBlocks是一款知名的開源集成開發環境包（IDE），被很多C/C++開發人員所使用。

另一款則是MinGW-w64，在我們調查之初便可下載。其中包含多種惡意機制，既有比特幣竊取木馬也有病毒。MinGW基本上就是GCC（GNU免費軟件匯編套裝）的Microsoft Windows移植版。

兩款軟件下載量的統計數據，詳見下圖（直接從download.com網站獲取的統計數據）。註意在被CNET下架後，CodeBlocks近期下載量為零。確切下架日期無從知曉，但根據遙感數據顯示，下架時間約為2017年3月份前後。

接到ESET通知後，CNET迅速從其官網上移除了上述內置木馬軟件。

機制分析

木馬釋放（MSIL/TrojanDropper.Agent.DQJ）

內置木馬軟件的第一階段是利用非常簡單的釋放工具，首先從資源包中提取相應應用軟件（Win32DiskImager、CodeBlocks、MinGW）的合法安裝包及惡意載荷，將兩個文件存儲在%temp%文件夾中並執行。

惡意程序在剪貼板中替換錢包（MSEL/ClipBanker.DF）
惡意載荷在簡單程度上與釋放工具非常接近 – 程序將自身復制到%appdata%\Dibifu_8\go.exe路徑，並在註冊表中添加運行鍵值，以確保持續加載。

剪貼板中替換比特幣地址，是通過上圖中簡單的4行代碼實現的，即通過正則表達式查找比特幣地址，並將其替換為攻擊者采用硬編碼形式寫入的錢包地址：1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj。

攻擊者並未費太多精力去隱藏其用意，因為即便是釋放工具和ClipBanker的調試符路徑都使其本意昭然若揭。據我們判斷，“SF to CNET”代表SourceForce to CNET，因為所有三款應用程序都在源代碼程序包中不存在惡意進程。

C:\Users\Ngcuka\Documents\V\SF to CNET\Btc Clipboard Rig\WindowsFormsApplication1\obj\x86\Release\WindowsFormsApplication1.pdb

還有幾項攻擊特征，值得受害者查找。首先是，在臨時文件夾中，會將惡意載荷和木馬程序包以y3_temp008.exe及Win32DiskImage_0_9_5_install.exe名義釋放並執行。

替換剪貼板中錢包地址的另一款惡意程序（Win32/ClipBanker.DY）

該惡意載荷由內置木馬的MinGW-w64應用軟件釋放。這是略微更復雜的一款變種，使用了類似的常規錢包搜索表達式：

此外，其中還含有采用資源加密形式的更多惡意組件，配套攻擊者名下約達3500個比特幣地址，以密鑰之中的前三個字符為基礎，用以通過類似地址替換受害者的錢包地址（不完整截圖）。

該比特幣竊取工具所內置的更多惡意載荷，也都有PDB路徑。其中之一就是：
C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb。用戶名與第一款比特幣竊取工具PDB路徑中的用戶名相同。至此可以認定，所有上述惡意程序樣本均由同一人開發。

染毒系統殺毒方法

• 從下載文件夾路徑中，刪除已下載的安裝包win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) from your Download folder location
  
  
• 刪除 exe in the %appdata%\dibifu_8\ 文件夾中的可執行文件 (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
  
  
• 刪除 y3_temp008.exe from %temp%\ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, resp. C758F832935A30A865274AA683957B8CBC65DFDE )
  
  
• 從註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中，刪除ScdBcd鍵值。
  
  

我們在調查過程中通知了CNET，後者迅速從官網上刪除了內置木馬的應用軟件，避免了木馬的進一步傳播。

如您懷疑自己已經染毒，請安裝防毒軟件以便自動查殺木馬文件。針對剪貼板替換性攻擊的最有效應對建議是，交易過程中務必仔細核對所復制的地址！

輸入輸出控制：

內置木馬的應用程序：

win32diskimager.exe	0B1F49656DC5E4097441B04731DDDD02D4617566	MSIL/TrojanDropper.Agent.DQJ trojan
codeblocks.exe	7242AE29D2B5678C1429F57176DDEBA2679EF6EB	MSIL/ClipBanker.EY trojan
mingw-w64-install.exe	590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918	MSIL/TrojanDropper.Agent.DQJ trojan

ClipBankers木馬：

mingw-w64 payload #1	BE33BDFD9151D0BC897EE0739F1137A32E4437D9	Win32/ClipBanker.DY trojan
mingw-w64 payload #2	2EABFFA385080A231156420F9F663DC237A9843B	Win32/ClipBanker.DY trojan
mingw-w64 payload #3	7B1E9A6E8AF6D24D13F6C561399584BFBAF6A2B5	Win32/ClipBanker.DY trojan
codeblocks.exe payload	E65AE5D0CE1F675962031F16A978F582CC67D3D5	MSIL/ClipBanker.AB trojan
win32diskimager.exe payload	E0BB415E858C379A859B8454BC9BA2370E239266	MSIL/ClipBanker.DF trojan

 
鳴謝Reddit論壇上的Matthieu Faou、Alexis Dorais-Joncas、David Jagoš、Robert Šuman、Vladislav Straka以及/u/Crawsh為本次調查所提供的協助。

 

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一，公司發展及代理各種不同的互聯網、資訊科技、多媒體產品，其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴，Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區，客戶來自各行各業，包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年，是一家面向企業與個人用戶的全球性的電腦安全軟件提供商，其獲獎產品 — NOD32防病毒軟件系統，能夠針對各種已知或未知病毒、間諜軟件 （spyware）、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少，偵測速度最快，可以提供最有效的保護，並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”（Deloitte’s Technology Fast 500）公司，擁有廣泛的合作夥伴網絡，包括佳能、戴爾、微軟等國際知名公司，在布拉迪斯拉發（斯洛伐克）、布裏斯托爾（英國 ）、布宜諾斯艾利斯（阿根廷）、布拉格（捷克）、聖地亞哥（美國）等地均設有辦事處，代理機構覆蓋全球超過100個國家。