火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 黑客滥用谷歌搜索传播恶意软件

[复制链接]
5972 8
楼主
发表于 2023-6-30 16:16:01 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层

据火绒威胁情报系统监测,有黑客团伙通过伪造官网并购买谷歌搜索引擎排名传播后门病毒,主要针对海外中文用户。该病毒被激活后,黑客可以执行任意命令。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
                              
火绒查杀图
该黑客团伙将伪造的网站投放到搜索排名第一位,诱导用户下载。这些网站内容也与真正的官网极其相似,并且大多使用的是中文,提供的软件也是中文版本,以”搜狗输入法“为例:
搜索引擎结果
进入页面后,页面的网址也与真正官网的网址非常相似,用户很有可能会误认为是合法网站,页面如下图所示:
伪造的官网
据火绒威胁情报系统显示,该病毒从4月份开始活跃,其传播趋势如下图所示:
传播趋势图
黑客团伙伪造的大多为流行软件官网,火绒目前检测到的盗版软件列表如下图所示:

盗版软件列表
用户运行通过搜索引擎下载的伪造安装包之后,程序就会释放病毒文件,随后执行黑客下发的命令及扩展模块等恶意行为,该病毒的执行流程,如下图所示:

病毒的执行流程图
一、样本分析

以假冒搜狗输入法为例,当伪造的安装包被运行之后,会释放msi程序由msi程序释放病毒文件以及搜狗输入法真安装包到Roaming\搜狗输入法酷爽版\目录中并运行,火绒剑监控到的行为,如下图所示:

火绒剑监控到的行为

病毒使用白加黑的方式来对抗杀毒软件的查杀,awesomium.exe会调用病毒文件awesomium.dll,在该dll中会读取xml_update.ini(shellcode)文件的内容并解密执行,相关代码,如下图所示:

执行shellcode

在shellcode中会内存加载后门模块,相关代码,如下图所示:

内存加载后门模块

在后门模块中会向注册表中添加自启动项来进行持久化,如下图所示:

添加注册表自启动项

该后门模块还可以根据CC服务器下发的指令来执行各种恶意功能,以一些较为重要的恶意功能进行举例说明,如:执行C&C服务器下发的任意命令,相关代码,如下图所示:

执行C&C服务器下发的任意命令

从指定URL下载、执行任意恶意模块,相关代码,如下图所示:

从指定URL下载、执行任意恶意模块

该病毒大部分恶意功能通过插件的形式进行下发,接收、执行C&C服务器下发的插件,相关代码,如下图所示:

接收、执行插件相关代码图

二、附录
C&C


HASH


回复

使用道具 举报

5972 8
沙发
发表于 2023-7-2 10:48:31 | 只看该作者
假冒火绒,被火绒发现。。。
回复

使用道具 举报

5972 8
板凳
发表于 2023-7-13 09:41:05 | 只看该作者
hhh假冒火绒
话说谷歌不是自称“我们会让广告出现在显眼的位置,但不会允许竞价排名的存在”吗
这不就打脸了吗
回复

使用道具 举报

5972 8
地板
发表于 2023-7-28 10:55:43 | 只看该作者
666这段分析,Ok呀,我也想那个!!!我这kali里已经等的不耐烦了。
回复

使用道具 举报

5972 8
5#
发表于 2023-8-2 09:40:11 | 只看该作者
是虚拟机实验的吗?
回复

使用道具 举报

5972 8
6#
发表于 2023-8-2 18:33:15 | 只看该作者
[img][/img]
回复

使用道具 举报

5972 8
7#
发表于 2023-8-2 18:37:09 | 只看该作者
您要访问的网站包含有害程序
www.huorong.cn 上的攻击者可能会试图骗您安装有损浏览体验的程序(例如更改您的主页或在您访问的网站上显示额外的广告)。了解详情

屏幕截图 2023-08-02 183425.png (46.43 KB, 下载次数: 921)

屏幕截图 2023-08-02 183425.png
回复

使用道具 举报

5972 8
8#
发表于 2023-8-2 18:39:35 | 只看该作者
ataol 发表于 2023-8-2 18:37
您要访问的网站包含有害程序
www.huorong.cn 上的攻击者可能会试图骗您安装有损浏览体验的程序(例如更改您 ...

您好,火绒产品被误报,导致官网被拦截,目前我们在紧急联系恢复中,您可以忽略提示内容正常的进行访问和下载,感谢您的反馈~
回复

使用道具 举报

5972 8
9#
发表于 2023-8-7 14:05:01 | 只看该作者
假冒官方火绒啊,这是
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表