首页
社区
课程
招聘
[原创]疑似借助畅捷通某款软件的勒索攻击爆发 火绒安全可查杀
发表于: 2022-8-29 21:18 10024

[原创]疑似借助畅捷通某款软件的勒索攻击爆发 火绒安全可查杀

2022-8-29 21:18
10024

火绒安全实验室监测,疑似借助畅捷通某款软件传播的勒索病毒模块异常活跃(FakeTplus病毒)。火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的畅捷通某款软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。

火绒安全查杀图
排查发现,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被AES算法加密的)。之后通过后门模块在内存中加载执行勒索病毒,根据火绒威胁情报系统统计得出病毒传播趋势,如下图所示:

FakeTplus病毒传播趋势图

 

在被投毒的现场中可以看到,后门病毒模块位于畅捷通某款软件的bin目录中,相关文件情况如下图所示:

被投毒现场后门病毒模块文件位置情况

 

某被投毒现场中,后门病毒模块的被投放时间,与受害用户使用的畅捷通某款软件模块升级时间相近,畅捷通某款软件更新的文件和恶意模块的时间对比图,如下图所示:

时间对比图
被勒索后,需要支付0.2个比特币(目前大概27439人民币),黑客留下的勒索信,如下图所示:

勒索信

后门模块代码逻辑

附录

病毒 HASH:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-9-7 13:48 被火绒实验室编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
hash放图有点不厚道  这怎么复制啊
2022-8-30 16:11
0
雪    币: 8213
活跃值: (4166)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
wx_Debug_677 hash放图有点不厚道 这怎么复制啊
截屏OCR试下呢
2022-8-31 09:19
0
雪    币: 12464
活跃值: (9427)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
https://www.virustotal.com/gui/file/74c7088500522ef764d1f511bb60abcfa1dc74153e69df76fd62880c73370b6c
2022-8-31 10:59
0
游客
登录 | 注册 方可回帖
返回
//