软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

长按二维码关注

腾讯安全威胁情报中心

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

1

背景

腾讯安全威胁情报中检测到大量用户感染 CracxStealer 窃密木马,追踪病毒来源发现源于境外某个软件破解补丁下载站(cracx[.]com)。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马,木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息,腾讯电脑管家及腾讯 T-Sec 终端安全管理系统均可查杀该病毒。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

根据 CracxStealer 窃密木马运营者的页面统计数据,该网站单个破解补丁下载次数超过 8 万次,而该网站提供的常用软件(包括许多大型商业软件)破解补丁有数百种之多,全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截:

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

CracxStealer 窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie 中保存的账号密码,搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息,以及获取电脑 IP 定位、操作系统版本、硬件和软件信息,桌面截屏,然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为 cracx[.]com,腾讯安全威胁情报中心将其命名为“CracxStealer 窃密木马”。

腾讯安全系列产品应对 CracxStealer 窃密木马的响应清单如下:

应用

场景

|

安全产品

|

解决方案

---|---|---

|

腾讯 T-Sec

威胁情报云查服务

(SaaS)

|

1) CracxStealer 黑产团伙相关 IOCs 已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考 :https://cloud.tencent.com/product/tics

腾讯 T-Sec

高级威胁追溯系统

|

1) CracxStealer 黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec 高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

|

云防火墙

(Cloud Firewall,CFW)

|

基于网络流量进行威胁检测与主动拦截,已支持:

1) CracxStealer 团伙关联的 IOCs 已支持识别检测;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯 T-Sec 主机安全

(Cloud Workload Protection,CWP)

|

1)已支持查杀 CracxStealer 相关后门木马程序。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于 T-Sec 主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯 T-Sec 安全运营中心

|

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯 T-Sec 安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

|

腾讯 T-Sec

高级威胁检测系统

(腾讯御界)

|

基于网络流量进行威胁检测,已支持:

1)通过协议检测 CracxStealer 相关木马与服务器的网络通信;

关于 T-Sec 高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯 T-Sec 终端安全管理系统(御点)

|

1)可查杀 CracxStealer 团伙入侵释放的后门木马程序;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于 T-Sec 终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

更多产品信息,请参考腾讯安全官方网站 https://s.tencent.com/

2

样本分析

我们选择该站提供的一个大型商业软件破解补丁为例进行分析:

CorelDRAW Graphics Suite 是一款主要用于设计图形图像的工具,在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示,付费使用版本每年费用为 399 美元,折合人民币约 2600 元 / 年。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

网民一般会先从官网下载一个试用版安装,然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站 https[:]//cracx.com 并下载了激活程序 CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip,下载页面显示该程序已有超过 8 万次的下载。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

该病毒下载站还会在下载页面标明该破解补丁已通过 avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证,套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后,会依次经过以下 URL 跳转,并最终通过 https[:]//filedl7.ga 下载文件。

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/
https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack License Key {Latest}
https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ (路径随机生成)
https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ (路径随机生成)

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

下载得到压缩包 CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5,解压后包含以下文件。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

使用 (P@$$ izz) 44556677.txt 中提示的密码 44556677 对 setup_installer.zip 进行解压,可以得到 NSIS 打包的安装包程序 setup_installer.exe。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

setup_installer.exe 是病毒母体,首先通过插件 UserInfo.dll 获取当前进程用户账户,如果不是 Admin,则利用 UAC.dll 提升到管理员权限。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

然后释放窃密木马 11.exe、rokger.exe 到 "$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动,还会执行脚本 11.vbs,在其中通过 Get 请求短链接 https[:]//iplogger.org/1yzUq7,短链接在不同的样本中会有所不同,由于目前访问都返回失败,所以暂不清楚此网络请求的目的。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

窃密木马部分代码添加了 VMP 壳进行保护。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

窃密木马从浏览器配置文件、数据库文件、Cookie 中获取登陆账号密码,支持国内外多款浏览器包括 Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

查询本机 IP、IP 所属位置、运营商属性等信息保存至随机名 txt 文件,以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至 system_info.txt。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

拍摄屏幕截图并保存为 screenshot.jpg。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

将搜集到的所有信息打包为随机名 zip 压缩包文件,存放至 ProgramData 目录下。

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

最后将压缩包数据通过 POST 发送至远程服务器 http[:]//mdpoter03.top/index.php

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

IOCs
Domain
mdpoter03.top
urep03.top
saytt03.top

URL
https[:]//cracx.com/coreldraw-graphics-suite-2017-full/
https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack License Key {Latest}
https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/
https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/
https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/
https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/
https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/
http[:]//mdpoter03.top/index.php
http[:]//urep03.top/index.php
http[:]//saytt03.top/index.php
https[:]//iplogger.org/1yzUq7

md5
Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38

RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip
7ed9a320c44d119e3d596efa218deab8

ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip
b366c329bcf624214bdfc23d7bedcb78

CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip
0083d7942c28e7a252dea391607917a5

installer_setup.exe

|

45ec40f05b5df3e21b6aad950da23bb1

---|---

installer_setup.exe

|

c5e4d08164364790eca5b3e8cf64ff79

installer_setup.exe

|

ada1ffc753347613cee9bcddac9763a1

installer_setup.exe

|

29bd44a4ed92568ddf67327ece8ace17

9.exe

|

d7997aeb03bfa17ae03e6ee85a5afadd

9.exe

|

e4c1146393fe67ccbb4789eba8db6b31

09.exe

|

18f235a24f4a7cfd2d0a5db61aac5921

caram.exe

|

ad8f303e25c56bc0b2c9a36c0ee37a3e

011.exe

|

b01ea80301d452d6b1337fce7cae4a40

11.exe

|

59cab6695a858e586be0dc0c3c781f6c

rokger.exe

|

a73ba165224417ec58fa88158dad6026

010.exe

|

c3e3127dd3185af88d40aa019c196694

10.exe

|

3bdef68d720360f362cdeec0463c282a

mertol.exe

|

8d5135bde449bc826b415043a03ebcce

11.vbs

|

2ecc0c2e30c22359b0f3e20df9b3af65

10.vbs

|

6ee3b4ca9f4e22a0d2b5bfbb20b1b322

9.vbs

|

732d3599f7f4aac60f9d08e487e62bf5

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万
软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

软件破解补丁隐藏窃密木马,窃取虚拟币钱包,全球受害者数百万

来源链接:mp.weixin.qq.com