首页
社区
课程
招聘
[原创]窃取加密货币的新型木马:InnfiRAT
发表于: 2019-9-19 09:56 5272

[原创]窃取加密货币的新型木马:InnfiRAT

2019-9-19 09:56
5272

背景

近日,国外安全研究人员曝光了一种名为InnfiRAT的新型木马,该木马使用.NET编写,具有窃取用户信息、抓取浏览器Cookie用于窃取密码、屏幕截取、下载执行其他恶意文件等行为。除此之外,该木马还会查找主机上的加密货币钱包信息,用于窃取加密货币(莱特币和比特币)。


功能分析


木马进程首先检测自身路径是否为%AppData%\NvidiaDriver.exe,并且终止名为NvidiaDriver.exe的进程,将自身复制到%AppData%\NvidiaDriver.exe再次执行:


以NvidiaDriver.exe重新运行后,会拼接一段base64编码的数据,解码后是一个PE文件,加载到内存中执行:

 

获取主机信息,检查Manufacturer是否包含相关字符串,以此来进行反虚拟机操作:

 

创建DuplexChannelFactory来与C&C服务器进行通讯:

tcp://62[.]210[.]142[.]219:17231/Ivictim


检查是否存在相关分析工具的进程,如果存在,将结束该进程:


创建定时任务执行木马母体:


从指定连接下载和执行文件:


窃取UserProfile信息发送的C&C端:


窃取下列指定浏览器的Cookie信息:

Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera


窃取加密货币钱包信息:



解决方案

1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:


2、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁;

4、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。


IOCs

MD5:

 f992dd6dbe1e065dff73a20e3d7b1eef

URL:

tcp://62.210.142.219:17231/IVictim


参考链接

https://www.zscaler.com/blogs/rese



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 2331
活跃值: (3044)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
littleyellow... 小黄
2019-9-19 10:52
0
雪    币: 219
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
如何才能进入深信服
2019-9-20 08:48
0
游客
登录 | 注册 方可回帖
返回
//