CryptBot 伪装成破解软件进行传播

CryptBot 最早在 2019 年被发现，近期再次爆发。最新版本的 CryptBot 已经显著简化，只包含信息窃取的功能，样本大小相比以前小得多。

CryptBot 针对敏感的用户数据，例如浏览器登录信息、加密货币钱包、存储的信用卡信息、密码等信息。收集到的信息会被发送回 C&C 服务器，出售获取经济利益。

 破解软件网站 

CryptBot 最近通过破解软件网站进行分发，这些网站提供的是常见游戏和其他软件的破解版。攻击者通过这种方式捆绑传播恶意软件，让受害者不知不觉中下载并执行恶意样本。

 技术分析 

CryptBot 的攻击链条起始于受害者访问失陷的页面下载 SFX 文件，如伪装成最新版本的 Adobe Photoshop。

△ 网页示例

随后，将名为 7ZSfxMod_x86.exe的 SFX 文件下载到机器上。

△ 恶意文件

解压后，名为 7ZipSfx.000的文件夹在 %Temp%目录中创建。其中，数字会随着文件数量与解压次数变化。例如，第二次解压将会创建名为 7ZipSfx.001的文件夹。

△ 文件夹

文件夹中包含四个文件，用于下一阶段的攻击：

aeFdOLFszTz.dll，ntdll.dll 的副本文件

Avevano.gif，BAT 脚本

Carne.gif，混淆的 AutoIT 脚本

Raccontero.exe，AutoIT v3 可执行解释器

如上所示，两个伪装成 GIF 图片的文件都是恶意脚本。不同版本的 CryptBot 还会使用 .MP3 与 .WMV 作为扩展名。

BAT 恶意脚本如下所示。脚本对安全产品（BullGuardCore 和 Panda Cloud Antivirus）进行扫描，如果存在将会延迟执行以逃避检测。

△ 恶意脚本

如下所示，BAT 恶意脚本解密高度混淆的 AutoIT 脚本 Carne.gif，BAT 还会将 AutoIT 脚本复制到虚拟内存区域运行。

△ 混淆脚本

使用 AutoIT 可执行解释器 Raccontero.exe运行 Carne.gif，脚本的文件名作为参数提供。

△ 进程启动

AutoIT 进程 Raccontero.exe.pif会将恶意 CryptBot 加载至内存中。

 功能 

CryptBot 首先在机器中检索用户与系统信息，收集的数据会存储在用户的 %Temp%目录下。发送给 C&C 服务器后，该文件即被删除。

检索的数据包括：

加密货币钱包

登录信息

表单数据

Cookie

浏览器历史记录

信用卡信息

敏感数据文件

操作系统和硬件信息

已安装程序列表

△ 扫描加密货币钱包

受害者的数据存储在压缩的 TXT 文件中，随后会被发送给 rygvpi61.top/index.php。

CryptBot 也包含备用的 C&C 服务器，可以下载其他恶意软件。

△ 恶意样本

 最新变种 

最新版本的 CryptBot 于 2022 年初在野被发现，攻击者只保留了数据泄露相关的核心功能，如反沙盒等功能都删除了。

最新版本的 CryptBot 不会窃取受害者的屏幕截图，也不会自行清除恶意文件。

新版本使用的混淆方法也与 CryptBot 旧版本不同，现在的恶意 BAT 脚本使用了更复杂的混淆来阻止研究人员分析。

新版本也更新了对最新版本 Chrome v96 的窃密，覆盖 Chrome 的全部版本。

 结论 

目前为止，只发现 CryptBot 针对 Windows 设备发起攻击。可能是与投递方式与破解软件有关，这在 MacOS 与 Linux 上并不常见。

攻击者将恶意样本缩小了一半，这样可以简化攻击进行更频繁、更快速的感染。

 Yara 

import "pe"
rule CryptBot {meta:description = "Detects 2022 CryptBot Through Imphash"author = "BlackBerry Threat Research Team"date = "2022-02-26"license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
strings:$s1 = "7z SFX"
condition:(//PE Fileuint16(0) == 0x5a4d and
//Imphashpe.imphash() == "e55dbecdaf2c7cc43f3d577e70c6c583" orpe.imphash() == "27fc501de77f5768cac058a2a9512c3a" orpe.imphash() == "fda990324138bdc940f9020ce3e8d5fc" orpe.imphash() == "997edafa1e226ba6317ec804803f9a57" orpe.imphash() == "4b3cfc81e94566bb0e35b6156e51fbd5" and
//All Stringsall of ($s*) )}

 IOC 
53d8d466679a01953aab35947655a8c1a2ff3c19ac188e9f40e3135553cf7556rygvpi61.top/index.phpgewuib08.top/download.php?file=scrods.exe

参考来源
https://blogs.blackberry.com/en/2022/03/threat-thursday-cryptbot-infostealer










                                                                      FreeBuf+             ，             交易担保             ，             放心买             ，                                       FreeBuf+小程序：把安全装进口袋                     小程序   








精彩推荐