下周计算机病毒预报 (2022年12月5日至2022年12月11日)

2022-12-04215

ARCrypter

警惕程度 ★★★

影响平台: Windows/Linux

病毒执行体描述

此前不为人知的“ARCrypter”勒索软件曾危及拉丁美洲的关键组织,现在正将其攻击范围扩大到全球。

去年8月,新的勒索软件家族的威胁分子攻击了智利的一个政府机构,目标是Linux和Windows系统,并附加了. Crypt扩展名的加密文件。

这种病毒似乎是全新的,与任何已知的勒索病毒家族都没有关联。

BlackBerry的研究人员通过一份新的报告证实了这一点,该报告确认该家族是ARCrypter,并将其与10月份哥伦比亚国家食品和药物监督研究所遭受的第二次攻击联系起来。

BlackBerry还警告称,ARCrypter目前正在拉丁美洲以外的地区扩展业务,并将目标对准了包括中国和加拿大在内的全球多个组织。

BleepingComputer证实了这一扩展,也看到ARCrypter受害者在德国,美国和法国。

赎金要求各不相同,据BleepingComputer了解,在某些情况下最低可达5000美元,因此ARCrypter作为一个中间层勒索软件角色。

BlackBerry表示,ARCrypter的第一批样本出现在2022年8月初,也就是智利袭击事件的几周前。

攻击载体尚不清楚,但分析人员能够定位到两个AnonFiles url,它们被用作远程资源,用于获取包含“win.exe”的“win.zip”存档。

可执行文件是一个包含资源BIN和HTML的dropper 木马文件。HTML保存勒索信数据,而BIN包含需要密码的加密数据。

如果提供了密码,BIN将在受损的机器上创建一个随机目录来存储第二级有效载荷,该有效载荷使用随机字母和数字字符命名。

BlackBerry在报告中表示:“虽然我们无法识别用于解密BIN资源的正确解密密钥,但我们非常确定,第二个有效载荷是ARCrypter勒索软件。”

ARCrypter有效负载通过添加以下注册表项创建持久性:

“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate”

接下来,恶意软件删除所有的备份副本,以防止容易的数据恢复,修改网络设置以确保稳定的连接,然后加密所有文件,除了如下所示的类型:

在“Boot”和“Windows”文件夹等关键位置的文件也会被跳过,以避免导致系统完全不可用。

除了.crypt 扩展名,加密文件将显示'所有您的文件已加密'的消息在文件管理器,通过修改以下注册表键:

虽然威胁行为者声称在他们的攻击中窃取数据,但勒索软件操作目前没有一个数据泄漏站点,他们用来发布数据给未支付的受害者。

目前,人们对ARCrypter的运营者、他们的来源、语言以及与其他勒索软件团伙的潜在联系知之甚少。


预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


Typhon Reborn

警惕程度 ★★★

影响平台:Windows

病毒执行体描述

2022年8月初,Cyble研究实验室发现了一个新的加密货币挖掘者/窃贼,恶意软件作者将其命名为Typhon stealer。此后不久,他们发布了一个名为“Typhon Reborn”的更新版本。这两个版本都能够窃取加密钱包,监控敏感应用程序的按键,并规避防病毒产品。

这个新版本增加了反分析技术和更多的恶意功能。威胁行为者还改进了他们的偷窃和文件抓取功能。

Typhon Stealer背后的威胁行动者通过一个地下网站(如下图所示)宣传他们的作品,同时通过他们现有的Telegram渠道提供开发和发布更新。

最初版本的Typhon Stealer被更新并以“Typhon Reborn”的新名称发布。这个新版本增加了反分析技术,并进行了修改,以改进盗贼和文件抓取功能。

下图是最新产品的截图,列出在一个私有Telegram频道中。

在他们的Telegram频道中,恶意软件作者表示,这个窃取程序的当前价格是终身订阅100美元,如下图所示。他们还声称,最终压缩的台风重生的有效载荷大小已经减少到2.3 MB左右,这取决于偷窃者的构建配置。

在Telegram帖子中,我们看到作者添加了多个新功能,并禁用了一些旧功能(如键盘记录器、快船采矿器等)。通过查看Typhon 1.2和最新的Reborn版本中的代码块,可以看到这些差异。下图显示了最新版本中块列表和CryptoApps的模块。

Typhon Reborn发布了多个新功能和可配置选项。这些新功能包括屏蔽列出的用户名和国家,新的消息客户端和谷歌Chrome和Microsoft Edge的加密扩展窃取器。作者还删除了一些现有的功能,包括键盘记录功能以及剪贴板窃取和加密挖掘功能。

在动态分析平台中,键盘记录和加密挖掘代码通常很容易被检测到。我们推测,删除这些功能是为了降低反病毒检测的机会。作者在发布说明中表示,被删除的功能将在未来移动到他们自己的项目中。

一旦触发了Typhon Reborn的所有新的反分析检查,就运行巧妙命名为MeltSelf的方法,如下图所示。此方法杀死威胁进程并从磁盘中删除自身。

Typhon Reborn的新反分析技术包括:

检查调试参数

检测虚拟机

检查调试器

检查物理磁盘的大小

检查已知的分析过程(块列表)

检查众所周知的沙箱用户名

检查受害国

Typhon Reborn还会检查启动盗贼的命令行参数。如果命令行参数包含——debug关键字,则窃取器将使用“MeltSelf”,如下图所示。

虽然磁盘大小检查通常不是新的逃避,但它是添加到Typhon Reborn的新功能(如图7所示)。它检查磁盘空间是否符合操作系统的特定大小。如果当前磁盘在Windows版本7和10中低于30gb,窃取者会再次运行“MeltSelf”。

Typhon Reborn包含了一个更大的潜在分析过程清单。包含的过程名称都是众所周知的分析工具,如果检测到,Typhon Reborn将“MeltSelf”

Typhon Reborn还在反分析技术中添加了用户名检查,如图8所示。下面列出的用户名已知被用于各种公共和私有沙箱中执行恶意软件。如果恶意软件在以下任一用户名下执行,恶意软件将调用“MeltSelf”。

Typhon Reborn的新的受害者国家代码检查使攻击者能够配置他们不希望在其上执行的机器的位置。在偷窃者的执行过程中,位置码检查依赖于第三方服务ipinfo[.]json来确定受害者的物理位置。如果该服务不可用,则使用受害者的时区代码来确定原籍国。如果受害者的机器位于独联体国家之一,盗机者将停止执行,如下图所示。

这个软件的前一个版本支持偷窃加密货币钱包文件,但Typhon Reborn已经扩展了这一功能,专门针对谷歌Chrome和Microsoft Edge加密货币应用程序浏览器扩展。

Typhon Reborn针对的扩展包括币安、Bitapp、Coin98等。此外,他们还专门针对Microsoft Edge的网页浏览器扩展Yoroi、Metamask和Rabet钱包。

Typhon Reborn现在可以收集更多的受害者数据,包括:

机用户名

操作系统信息

使用防病毒软件

无线网信息

数据网接口

语言

下面是被抓取并发送到恶意软件作者的Telegram频道的数据截图。

Typhon Reborn还收集扩展的Wi-Fi信息。大多数数据是相当无害的,如语言、计算机名、操作系统和防病毒(如果存在的话)。然而,这个版本的Typhon Reborn从受害者的主机中提取所有无线网络密码,并将其写入Wifi密码.txt文件。

Typhon Stealer用于数据泄露的技术与前一个版本相比没有变化。然而,我们包含了下面的截图来说明恶意软件作者是如何利用Telegram的API和基础设施来窃取所有被提丰重生窃取的数据。



预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


钓鱼网站提示:

 1、假冒亚马逊类钓鱼网:

https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/

危害:骗取用户邮箱账号及密码信息。

 2、假冒PDF类钓鱼网:

http://www.capelini.com.br/adobeCom/inc/

危害:骗取用户账号及密码信息。

 3、假冒Paypal类钓鱼网:

http://www.skblibrary.org.in/cottonlibrary/a

危害:骗取用户账号及密码信息。

 4、假冒腾讯游戏类钓鱼网站: 

http://www.dnf233.com/

危害:骗取用户信用卡号及密码信息。

 5、假冒Gmail类钓鱼网站

http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/

危害:骗取用户邮箱账号及密码信息。


请勿打开类似上述网站,保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供