慢雾：伪 Electrum 鱼叉钓鱼攻击分析

By：爱上平顶山@慢雾安全团队

前言

近日，慢雾安全团队收到情报，有专业黑产团队针对交易所用户进行大规模邮件批量撒网钓鱼攻击。

钓鱼邮件如图：

慢雾安全团队收到情报后，第一时间展开分析。

以下是详细分析过程：

攻击细节

我们点击跳转目标页面：

从上图可以看到，针对 Mac OS X / macOS / Windows 不同系统都给出了下载链接；链接指向黑客木马文件存放位置。

于 3 天前，创建的账号，里面存在两个项目：

b*****.github.io

b****t

上图样本 “Bi****-Setup.exe” 是 Windows 下的恶意文件。

“index.html” 是一个仿冒的升级提示页面，诱导用户升级下载。

详细分析

接下来我们对Windows端和Mac端分别进行分析：

1.Windows 端：

下图为样本 “Bi****-Setup.exe” 数字签名：

（1）EXE 文件基本信息

文件名称：B****-KYC-Setup.exe

子文件信息：

script.txt /  877da6cdd4eb284e2d8887b24a24168c /  Unknown

setup.exe /  fe1818a5e8aed139a8ccf9f60312bb30 /  EXE

WinSCP.exe /  e71c39688fad97b66af3e297a04c3663 /  EXE

（2）关键行为

行为描述： 屏蔽窗口关闭消息

详情信息：hWnd = 0x00030336, Text = Deep Onion Setup: Completed, ClassName = #32770

（3）进程行为

行为描述： 创建本地线程

详情信息：

（4）行为描述： 创建新文件进程

详情信息：

（5）文件行为

行为描述： 创建文件

详情信息：

（6）行为描述： 创建可执行文件

详情信息：

（7）行为描述： 覆盖已有文件

详情信息：

（8）行为描述： 查找文件

详情信息：

（9）行为描述： 删除文件

详情信息：

（10）行为描述： 修改文件内容

详情信息：

（11）网络行为

行为描述： 建立到一个指定的套接字连接

详情信息：

IP: **.138.40.**:128, SOCKET = 0x000001d0

IP: **.138.40.**:128, SOCKET = 0x000001cc

我们测试打开，自解压:

结果发现用于上传本地用户信息的 FTP 账号密码，同时有一个正常的 Electrum Installer 文件，一旦用户安装后使用， 在 Electrum 下输入的敏感信息将被发送到远程恶意 FTP 服务器接收。

2020年06月02日 开始，已经有用户陆续中招。

2.Mac 端：

（1）安装命令：

（2）脚本内容：

（3）恶意地址：https://github.com/deep-onion

(模仿知名项目https://deeponion.org/ 的Github地址 https://github.com/deeponion )

恶意地址下也有两个项目：

deep-onion.github.io

wallet

https://github.com/deep-onion/deep-onion.github.io

此文件此处不做分析。

 

（4）Mac 端

https://github.com/deep-onion/wallet

恶意文件是 DeepOnion

执行恶意脚本后是一系列恶意操作，

如：

大致流程

通过以上一些列操作，从而盗取用户隐私信息。

备注：

C2 信息：

crontab.site

邮箱 alashanvinov@yandex.ru

phone_tag +7.9453949549

注册时间  2020-04-20 17:47:03

过期时间  2021-04-20 23:59:59

更新时间  2020-04-20 17:47:04

慢雾建议

针对本次攻击事件慢雾安全团队建议：

• 认清官方邮箱后缀

• 谨慎对待未知来源邮件里的链接与附件

• 怀疑一切以“升级”、“账号异常”等理由的邮件

• 对于需要处理但可疑的邮件内容，需及时咨询专业人员

欢迎随时联系慢雾安全团队 Team@slowmist.com