奇瓦瓦窃密者:新型信息窃取木马
分析人员:Lovely Antonio 和 Chloe de Leon
奇瓦瓦窃密者是一款新发现的基于.NET的信息窃取木马,融合了常见恶意软件技术与异常高级的功能。我们最初通过4月9日的一篇Reddit帖子注意到它,用户分享了一个经过混淆的PowerShell脚本,他们被诱骗通过Google Drive文档执行。如果这听起来似曾相识:您没错——我们在虚假招聘活动中见过类似情况,并曾撰文介绍。
该脚本使用多阶段载荷,通过计划任务实现持久化,最终执行主要窃取载荷。本文分解了攻击链的每个阶段,从初始投递方法开始,到加密数据外传结束。
关键要点(tl;dr)
- 感染始于通过恶意Google Drive文档分享的混淆PowerShell脚本,启动多阶段载荷链。
- 通过计划任务实现持久化,检查自定义标记文件并从多个备用域动态获取额外载荷。
- 主要载荷使用.NET编写,针对浏览器数据和加密货币钱包扩展。
- 窃取的数据被压缩成扩展名为“.chihuahua”的存档,并通过Windows CNG API使用AES-GCM加密。
- 加密存档通过HTTPS外传,所有本地痕迹被清除,展示了其隐身技术。
奇瓦瓦窃密者的感染链
包含样本的Reddit帖子
PowerShell脚本行为
我们的同事4月9日在Reddit发现一篇有趣的帖子,用户分享了一个PowerShell脚本,他们被诱骗通过Google Drive文档运行。进一步检查发现,基于PowerShell的加载器启动了一个多阶段执行链,使用Base64编码、十六进制字符串混淆和计划任务来建立持久化。它将从备用C2域检索额外载荷——表明其采用模块化和隐身设计。
初始阶段是一个简短的启动器,通过PowerShell的iex执行Base64编码的字符串,绕过执行策略检查并静默运行。这使得攻击者可以将实际逻辑嵌入编码载荷中,延迟分析和特征检测。
嵌入Base64载荷的PowerShell加载器
解码后,第二阶段脚本重建一个大型混淆的十六进制载荷。它去除自定义分隔符(即“~”),将十六进制转换为ASCII字符,并动态构建第三阶段脚本。这种运行时重建技术规避静态检测和沙箱分析。
反混淆脚本创建一个名为“f90g30g82”的计划任务,每分钟运行,持续调用逻辑块。它检查用户的Recent文件夹中是否有扩展名为“.normaldaki”的文件,用作感染标记。如果找到文件,则查询C2服务器(cdn[.]findfakesnake[.]xyz)获取进一步指令。如果响应包含“Comm”触发器,则解码并执行载荷。如果主服务器不可达,脚本回退到第二个域(cat-watches-site[.]xyz)。
计划任务设置和基于标记的载荷执行
备用载荷检索和内存执行
最后阶段设置计划任务的触发器,并从flowers[.]hold-me-finger[.]xyz检索.NET程序集,随后从基于OneDrive的URL获取另一个Base64编码的载荷。此载荷即奇瓦瓦窃密者,被解码并使用反射直接加载到内存中,然后通过其Main方法执行。最后,脚本清除控制台并擦除剪贴板内容。
奇瓦瓦窃密者
初始执行
窃密者以DedMaxim()函数开始执行,该函数将音译的俄语说唱歌词打印到控制台,每行之间有短暂停顿。虽然这些字符串没有功能用途,但它们的存在可能提供文化或个人签名。恶意软件作者可能将这些作为对喜爱艺术家或场景的引用,类似于其他将音乐、模因或个人商标嵌入载荷的主题恶意软件。
主程序
控制台中打印的俄语说唱歌词
控制台中打印的俄语说唱歌词(续)
浏览器和钱包目标
窃密者完成打印歌词后,转入内部核心逻辑。函数PopilLina()是恶意软件设置内部操作的地方。恶意软件使用WMI查询机器名称和磁盘序列号,并将它们组合成单个字符串。该字符串通过两个混淆的辅助函数转换,生成该特定机器的哈希唯一标识符。此ID用于标记包含窃取数据的存档和文件夹。
查询机器名称和磁盘序列号
已知浏览器目录列表,检查系统中是否存在
生成受害者ID并设置暂存目录后,恶意软件转入数据提取。它从已知浏览器位置和加密货币钱包扩展中抓取敏感文件。函数Sosalnya.Metodichka()接收浏览器数据目录数组,并验证系统中哪些存在。%PRIKUPILIXULI%是%USERPROFILE%的字符串替换占位符,因此在运行时,恶意软件动态检查这些文件夹以识别安装了哪些浏览器。
一旦确定有效目录列表,Armyanec01()遍历每个目录,窃取登录数据、cookies、自动填充信息以及网络数据,包括浏览历史、保存的会话和支付信息。
它还针对浏览器扩展,特别是通过匹配已知扩展ID并从对应钱包的文件夹中转储数据来针对加密货币钱包。
已知加密货币钱包扩展ID列表
暂存和压缩
窃取浏览器数据和钱包相关扩展文件后,恶意软件准备战利品进行加密和可能的外传。PawPawers()将名为Brutan.txt的明文文件写入工作目录。填充文件夹后,窃密者将整个文件夹压缩成扩展名为“.chihuahua”的.zip存档。
加密
恶意软件将窃取的数据压缩成“.chihuahua”存档后,立即使用AES-GCM加密。加密输出写入
大多数商品窃密者要么完全跳过加密,要么使用基本方法,如XOR、Base64或.NET的内置密码库。相反,此样本通过Windows CNG API应用AES-GCM。虽然这提供了认证加密,但需要注意的是对称密钥嵌入二进制中,可通过分析恢复。这种CNG的使用在窃密者中相对不常见,但不一定表示复杂性。
使用Windows密码学API:下一代(CNG)加密
外传
窃取数据被压缩并加密成“.VZ”文件后,恶意软件尝试使用重试循环将其外传到外部服务器。
实际外传发生在VseLegalno()中。该函数创建WebClient实例并设置标头以模拟二进制文件上传,然后将“.VZ”加密文件上传到hxxps://flowers[.]hold-me-finger[.]xyz/index2[.]php。
窃取数据的上传
清理
完成任务后,窃密者从磁盘清除所有活动证据。这是使用标准文件和目录删除命令完成的。
结论
奇瓦瓦窃密者表面轻量,但其使用隐身加载、计划任务持久化和多阶段载荷投递显示了有意规避检测的努力。
为提高检测覆盖率,应考虑监控以下内容:
- 警报频繁计划的PowerShell任务,包含可疑或混淆命令。
- 狩猎Recent或Temp等目录中的异常文件扩展名或标记文件。
- 在PowerShell日志中检测Base64解码结合.NET反射(例如,Assembly::Load())。
- 标记通过Windows CNG API的不常见AES-GCM使用,特别是与出站HTTPS流量相关时。
MITRE
- 命令和脚本解释器:PowerShell:T1059.001
- Windows管理规范:T1047
- 来自密码存储的凭据:来自Web浏览器的凭据:T1555.003
- 通过C2通道外传:T1041
IOC
IP/URL:
- hxxps://onedrive[.]office-note[.]com/res?a=c&b=&c=8f2669e5-01c0-4539-8d87-110513256828&s=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiI4YTJlNmI1MDQ4M2E5MWYyODkz NTQ4Y2M1MDUwMdg1NyIsInN1YiI6IjEzN2JkZG0zYjZhOTYiQ.vXOOM_cWpG2OmzSx5t2l9A6ecnMKFzunS4LWccgfPjA
- hxxps[:]//flowers[.]hold-me-finger[.]xyz/index2[.]php
- hxxps[:]//cat-watches-site[.]xyz/
- hxxps[:]//cdn.findfakesnake.xyz/
PowerShell脚本:
- SHA:afa819c9427731d716d4516f2943555f24ef13207f75134986ae0b67a0471b84
- 检测:PowerShell.Trojan-Downloader.Agent.IE1KHFPayload
载荷:
- SHA:c9bc4fdc899e4d82da9dd1f7a08b57ac62fc104f93f2597615b626725e12cae8
- 检测:Win32.Trojan-Stealer.Chihuahua.8W7FOE
相关文章
安全意识
2025年2月10日
来自虚假招聘者的恶意软件
Tim Berghoff 安全布道师
返回博客
分享文章
G DATA安全实验室病毒分析团队
分享文章
内容
- 关键要点(tl;dr)
- PowerShell脚本行为
- 奇瓦瓦窃密者
- 浏览器和钱包目标
- 暂存和压缩
- 加密
- 清理
- 结论
- MITRE
- IOC
- 相关文章
主题
恶意软件
警告
您在这里:博客(英文)> 奇瓦瓦窃密者:新型信息窃取木马
G DATA
关于G DATA
新闻室
工作与职业
奖项
服务
免费试用
提交可疑文件、应用或URL
G DATA解决方案
消费者
商业
数据保护
联系方式
版权声明
gdatasoftware.com
© 2025 G DATA CyberDefense AG。保留所有权利。