请选择 进入手机版 | 继续访问电脑版

DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 2898|回复: 0

[样本分析] Remcos RAT 通过 Webhards 分发

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2024-1-19 14:11:00 | 显示全部楼层 |阅读模式
AhnLab 安全情报中心 (ASEC) 最近在监控韩国恶意软件的分发来源时发现,伪装成成人游戏的 Remcos RAT 恶意软件正在通过网络硬盘进行分发,网络硬盘和种子文件是韩国常用的恶意软件分发平台。

攻击者通常使用易于获取的恶意软件 (例如 njRAT 和 UDP RAT),并将其伪装成合法程序 (例如游戏或成人内容) 进行分发,类似的案例在之前的 ASEC 博客中已经多次介绍过:






如第一张图所示,恶意软件正在使用相同的方法通过多个游戏进行传播。这些帖子都有一个指导,告诉用户运行 Game.exe 文件。

解压文件后,会出现 Game.exe 文件。虽然它看起来像一个常规的游戏启动器,但用于运行游戏的实际 dll 是单独存在的,并且运行 Game.exe 时,恶意 VBS 脚本会与游戏文件一起执行。







如上图所示,www\js\plugins 文件夹中存在带有恶意 VBS 的恶意软件。最终执行的是 ffmpeg.exe 恶意软件。恶意软件执行时的感染流程如下所示



当执行 ffmpeg.exe 时,"sexyz" 字符串被分割,从 test.jpg 中提取加密的二进制文件和密钥值,然后它们被注入到 explorer.exe 中。





注入的恶意软件通过下图所示的 C&C 服务器下载 Remcos RAT,并尝试通过将其注入 ServiceModelReg.exe 来执行其他行为。





如示例所示,用户需要小心,因为恶意软件正在通过文件共享网站 (例如韩国网络硬盘) 积极传播。因此,建议在运行从文件共享网站下载的可执行文件时务必小心。建议用户从官方网站下载程序。

文件

  • ffmpeg.exe : 00bfd32843a34abf0b2fb26a395ed2a4
  • ffmpeg.dll : 4d04070dee9b27afc174016b3648b06c
  • test.jpg : 5193669c2968980c0e88a87fd4bf61c4
  • passage.vbs : 2e6796377e20a6ef4b5e85a4ebbe614d
  • passage2.vbs : b05de31c9c254eea1be1dc4c5a38672c
  • passage.bat : 5574647e6e64cee7986478a31eecbae0
  • passage2.bat : 629c21b1eee4e65eb38809302ae029f6
  • space.vbs : ee198ab059b0e180757e543ab6e02bed
  • sky.vbs : 2f6768c1e17e63f67e173838348dee58
  • road.vbs : 36aa180dc652faf6da2d68ec4dac8ddf

C&C 服务器

  • kyochonchlcken.com/share/Favela.r6map
  • kyochonchlcken.com/share/1.exe
  • kyochonchlcken.com/share/BankG.r6map

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-8 14:40 , Processed in 0.061085 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表