历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    伪装成ToDesk安装程序加载后门盗取数字货币
    熊猫正正 发表于 广东 技术文章 1105浏览 · 2024-12-04 12:00

    前言概述

    近日有微信朋友发给笔者一个样本,让笔者有空可以看看,如下所示:

    分析之后,发现样本还挺新的,而且有一定的对抗性,通过捆绑ToDesk安装程序加载远控后门盗取数字货币等信息,分享出来供大家学习参考。

    详细分析

    1.初始样本为使用Setup Factory打包的安装程序,如下所示:

    2.安装完成之后,在安装目录的dev目录下生成相应的恶意文件,如下所示:

    3.样本采用白+黑的方式加载恶意模块,如下所示:

    4.恶意模块采用Delphi语言编写,编译时间为2024年10月30日,如下所示:

    5.导出函数都被混淆了,如下所示:

    6.笔者注意到有一个导出函数比较特别IsWindowServer,通过分析发现恶意代码就隐藏在该导出函数当中,如下所示:

    7.读取同目录下的Prgkectiodn.u6mg文件加密数据到内存,如下所示:

    8.通过异或算法解密加密的数据,如下所示:

    9.解密算法,如下所示:

    10.解密出来的PayLoad,如下所示:

    11.解密出来的PayLoad也是使用Delphi语言编写,编译时间为2024年10月30日,如下所示:

    12.调用执行该PayLoad的M78E27BDC3EF60E302EDD6DD505E10A2F22D17DD23AF703GYT导出函数,如下所示:

    13.创建互斥变量GREHERTHE27BDE2361E06CCD30E00B3AFDGFDG5,如下所示:

    14.设置相应的自启动注册表项,如下所示:

    15.设置完成之后,如下所示:

    16.获取操作系统相关信息,操作系统版本、类型、GUID、BIOS信息等,如下所示:

    17.PayLoad是一个远控类的模块,通过不同的指令,执行不同的操作,一共有几十个不同的指令执行不同的操作,如下所示:

    18.上面指令非常多,笔者重点关注一下数字货币钱包操作,盗取系统上的数字货币钱包,如下所示:

    19.通过Chrome扩展程序ID信息等,定位操作系统中存在的数字货币钱包信息,如下所示:

    20.盗取用户浏览器相关数据,如下所示:

    21.盗取系统用户ETH和TRON数字货币,如下所示:

    22.获取系统安全软件信息,如下所示:

    23.黑客C2域名为golomee.com,如下所示:

    通过威胁情报平台查询,该C2域名被标记为“黑猫”黑产组织,如下所示:

    24.笔者从程序中提取出相关数字货币钱包Chrome扩展程序ID信息,如下所示:
    Wallet Name Extension ID
    MetaMask nkbihfbeogaeaoehlefnkodbefgpgknn
    MetaMask ejbalbakoplchlghecdalmeeeajnimhm
    TronLink ibnejdfjmmkpcnlpebklmnkoeoihofec
    Phantom bfnaelmomeimhlpmgjnjophhpkkoljpa
    Terra Station aiifbnbfobpmeekipheeijimdpnlpgpp
    Terra Station ajkhoeiiokighlmdnlakpjfoobnjinie
    Keplr dmkamcknogkgcdfhhbddcghachkejeap
    Keplr efknohjclbjfppcmniflbmnokbihoofp
    Math Wallet afbcbjpbpfadlkmhmclhkeeodmamcflc
    Math Wallet dfeccadlilpndjjohbjdblepmjeahlmm
    Binance fhbohimaelbohpjbbldcngcnapndodjp
    Binance mkinohlchpfiljfihdblneojpbpchmad
    TokenPocket mfgccjchihfkkindfppnaooecgfneiii
    Trust Wallet egjidjbpglichdcondbcbdnbeeppgdph
    Trust Wallet glcnemilkfekippdjmhghgakcbmkejnk
    OuYiWEB3 Wallet mcohilncbfahbmgdjkbpemcciiolgcge
    Coin98 Wallet aeachknmefphepccionboohckonoeemg
    Math Wallet afbcbjpbpfadlkmhmclhkeeodmamcflc
    Math Wallet dfeccadlilpndjjohbjdblepmjeahlmm
    Wombat Gaming Wallet amkmjjmmflddogmhpjloimipbofnfjih
    Pontem Aptos Wallet phkbamefinggmakgklpkljjmgibohnba
    Pontem Aptos Wallet phkbamefinggmakgklpkljjmgibohnba
    X Wallet bofddndhbegljegmpmnlbhcejofmjgbn
    Keeper Wallet lpilbniiabackdjcionkobglmddfbcjo
    Keeper Wallet hdpempkibblfcglmkkakkpnjmbnebaki
    TON Wallet nphplpgoakhhjchkkhmiggakijnkhfnd
    TON Wallet dgegbhgbijbhkmkacomdlogdkacokpam
    Leap Terra Wallet aijcbedoijmgnlmjeegjaglmepbmpkpi
    XDEFI Wallet hmeobnfnfcmdkdcmlblgagmfpfboieaf
    Maiar DeFi Wallet dngmlblcodfobpdpecaadgfbcggfjfnm
    Ronin Wallet fnjhmkhhmkbjkkabndcnnogagogbneec
    Ronin Wallet kjmoohlgokccodicjjfebfomlbljgfhk
    Oasis Wallet ppdadbejkmjnefldpcdjhnkpbjkikoip
    XCoinbase Wallet hnfanknocfeofbddgcijnmhnfnkdnaad
    bitkeep Wallet jiidiaalihmmhddjgbnbgdfflelocpak
    Argent X dlcobpjiigpikoobohmabehhmhfoodbb
    Coinhub jgaaimajipbpdogpdglhaphldakikgef
    FINX ejehodfgjhiadihgjdkgffciiepfdeep
    Plug cfbfdhimifdmdehjmkdobpcjfefblkjm
    Rabby acmacodkjbdgmoleebolmdjonilkdbch
    Sui Wallet opcgpfmipidbgpenhmajoajpbobppdil
    Temple Tezos Wallet ookjlbkiijinhpmnjffcofjonbfbgaoc
    Zecrey ojbpcbinjmochkhelkflddfnmcceomdi
    Martian Aptos Wallet efbglgofoippbgcjepnhiblaibcnclgk
    Petra Aptos Wallet ejjladinnckdgjemekebdpeokbikhfci
    Fewcha Wallet ebfidpplhabeedpnhjnobghokpiioolj
    Polygon Wallet bjnlkgkghpnjgkonekahiadjmgjpmdak
    Typhon Wallet kfdniefadaanbjodldohaedphafoffoh
    Nitrogen Wallet ajbieehikidekihmekmbdmdconafgkie
    Meteor Wallet pcndjhkinnkaohffealmlmhaepkpmgkb
    JustLiquidity Wallet cmbagcoinhmacpcgmbiniijboejgiahi
    Nami lpfcbjknijpeeillifnkikgncikgfhdo
    Wallet Crypto BTC ETH glbgnkopdilgbjchligmlbmhkgohggoj
    Carbon Wallet pnphepacpjpklpbacfmebicbgndobakn
    Saifu Solana Wallet ejdabmcenoflojakpkgjnilnohjoobac
    ZEON Wallet gbjepgaebckfidagpfeioimheabiohmg
    MWC Wallet ahhdnimkkpkmclgcnbchlgijhmieongp
    Stash Wallet incepomdpmhakfkbifbhhmbjeofohaka
    Avana Wallet ajnodjmfajgabkmeididajpkoobeiofn
    Auvitas Wallet klbgaboailigngkiifaglicepkfckppa
    Sentinel T4L3NT Wallet bpefpmecbepflicbncadgnhdaapjgnpk
    USDC Wallet pkjmoihlmlhhkahcplhijafhcioaciih
    UMI Wallet einhphiffjfjogeofkpclobkcgennocm
    Fee Chain Wallet gbjegagconancfmeejpjilopbflhdpdk
    KardiaChain Wallet pdadjkfkgcafgbceimcpbkalnfnepbnk
    UniSat Wallet ppbibelpcjmhbdihakflkdcoccbgbkpo
    OuYiWEB3 Wallet pbpjkcldjiffchgbbndmhojiacbgflha
    其他一些功能就不分析了,对其他功能感兴趣的自己下载样本去研究一下吧。

    威胁情报

    总结结尾

    最近几年随着WEB3流行,各种区块链加密货币层出不穷,只要有利益的地方,就有黑客的存在,全球几大黑客组织早就盯上了WEB3加密货币这块,开发出很多盗取WEB3加密货币的恶意软件,这些恶意软件在VT上的检出率都比较低,大家要提前做好相应的防护,不要随意安装和使用一些加密货币软件,以及访问一些WEB3相关的项目,以防自己的加密货币被盗。

    0 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持