Trend Micro™ Managed XDR 对假安装包和破解软件感染的分析

关键要点

攻击者利用 YouTube 和社交媒体等平台分享假安装包的下载链接，利用用户信任并引导点击恶意网站。
威胁行为者常使用知名文件托管服务（如 Mediafire 和 Mega.nz）隐藏恶意软件来源，增加检测和清除难度。
许多恶意下载文件受密码保护并经过编码，增加了在沙箱等安全环境中的分析复杂度，使恶意软件能够逃避早期检测。
一旦感染，恶意软件会从浏览器收集敏感数据以窃取凭据。这种情况凸显了无意下载欺诈软件导致个人信息暴露的严重风险。

引言

假安装包捆绑信息窃取器的增加是对寻找盗版软件用户日益增长的威胁。这些恶意程序伪装成合法应用程序，通常出现在 GitHub 等平台的搜索结果或评论中。不幸的是，许多用户成为这些陷阱的受害者。Trend Micro™ Managed XDR 服务经常看到其后果，Lumma 窃取器就是一个突出例子。这凸显了盗版可能危及个人安全和数据完整性的隐藏危险。

信息窃取器是一种旨在从受感染系统窃取敏感信息的恶意软件。这可能包括凭据、财务信息、个人数据和其他可用于身份盗窃、欺诈或其他恶意目的的信息。

如何引诱受害者

信息窃取器以欺骗方式操作，引诱受害者下载伪装成合法软件安装程序的恶意软件。这些下载链接通常源自虚假网站，或作为社交平台消息中的链接分享，如我们之前的博客所述。

在本博客中，我们希望强调并分解典型用户如何偶然发现这些假安装包的下载链接。

受害者被冒充指南的个人在 YouTube 等流行视频分享平台上引诱进行盗版。这些欺骗性行为者假装提供合法软件安装教程，诱使观众点击视频描述或评论中的恶意链接。这不仅危害用户设备，还助长了盗窃文化。以下是一个示例。

图1. YouTube 评论部分托管的 URL

访问链接后，YouTube 上会打开一个单独的帖子，显示假安装包的下载链接。

图2. 评论部分链接的结果

在以下示例中，它导致从 Mediafire 文件托管站点下载文件：

图3. Mediafire 链接的内容

在另一个案例中，威胁被上传到另一个名为 Mega.nz 的文件托管站点。

图4. Trend Vision One™ 执行配置文件显示从 mega.nz 下载假安装包

很明显，威胁利用已知文件托管服务作为进一步隐藏下载和逃避检测的另一层。

在本博客讨论的案例中，我们观察到这些威胁通常作为假安装包或破解软件分发，受害者在搜索引擎上搜索时无意中遇到。

在以下样本中，特定关键词触发这些条目的搜索结果。

图5. 潜在破解/安装程序的搜索结果

搜索结果中的第三项（参见上图）来自 OpenSea（一个 NFT 市场），这很不寻常，因为它托管了一个可下载文件。该条目包含一个缩短链接，重定向到实际链接。一个假设是，他们使用缩短链接以防止抓取站点访问下载链接。

图6. OpenSea 托管的假安装包的缩短下载链接

以下链接将提示您输入实际下载链接和 zip 文件的密码。密码保护文件有助于防止沙箱在初始文件到达时进行分析，这对对手来说可能是一个快速胜利。

图7. 链接的下一阶段显示实际下载链接

搜索结果中的第四项也是最后一项（参见搜索结果截图）来自 SoundCloud，一个音乐分享平台，托管了下载链接及相应描述。在这种情况下，下载链接使用 Twitter 缩短。

图8. 媒体分享站点托管的假安装包下载链接

同一用户还发布了其他条目，包括下载特定文件的方法。

图9. 同一账户中的其他条目显示潜在托管的假安装包

同一用户不同帖子的内容。

图10. 不同帖子的内容，显示与图8相同的格式

与第一个案例类似，另一个站点显示下载链接和密码。

在我们的一個下载链接中，我们发现了他们试图伪造的其他条目的证据，如 VirusTotal (VT) 所示。

图11. VirusTotal 检测到的假安装包/破解下载链接之一的其他结果

Managed XDR 看到的感染分析（下载后）

在下一节中，我们将讨论下载成功并执行内容的实例。此案例样本突出了在主机上观察到的活动。

案例1

图12. Trend Vision One 执行配置文件显示下载链和从 zip 文件提取假安装包

关于解压文件的一个观察是，其大小为 900 MB。这种大文件大小有助于防御逃避，并允许它绕过沙箱分析以显得更合法作为安装程序。此外，它被限制在 VT 中提交。

感染序列在执行 zip 文件中的 .exe 文件时触发。

图13. 与假安装包感染相关的事件

检测到涉及执行批处理文件的威胁。批处理文件的内容已获取，虽然与 Managed XDR 案例不同，但功能上仍然相似。

批处理文件包含混淆条目。

图14. 威胁执行的批处理文件内容

第一次清理涉及删除垃圾条目。

下一步是替换变量，产生更清晰的脚本。

图15. 反混淆后批处理文件的结果

根据批处理文件，它通过组合多个创建的文件来构建 AutoIt 脚本并执行它。执行时，我们观察到它丢弃了几个附加文件。

进程可能被注入其代码，有时会引入新的合法二进制文件进行进程注入。

图16. 威胁事件，其中下载合法文件并将代码注入其中

图17. 威胁事件，其中注入的合法文件展示其恶意活动

通过复制文件操作完成从浏览器环境收集和准备敏感数据以进行凭据访问。

还观察到威胁引入的进程建立与多个命令和控制 (C&C) 地址的连接。

图18. Vision One 搜索应用中看到的与 C&C 活动相关的事件

除了访问其 C&C，我们的调查还观察到威胁进行一系列与域生成算法 (DGA) 域相关的查询。

案例2

在第二个案例中，感染始于用户从知名文件托管站点下载压缩文件。下载后，用户解压文件，这需要密码，并执行安装程序。执行时，它进行一系列可疑事件，例如生成合法进程并将其代码注入其中。威胁还引入已知的脚本工具 AutoIt 以进一步混淆其执行，随后连接到其 C&C 以下载和执行附加恶意软件，通常是不同变体的信息窃取器。

zip 文件内容的片段显示，乍一看，它只是一个标准的应用程序安装程序。

图19. 一个假安装包 ZIP 文件的内容

Setup.exe 是 rustdesk.exe 的一个版本，这是一个在 VirusTotal 上识别的开源远程桌面访问软件。

zip 文件包含一个特洛伊木马化的 rustdesk.exe 文件，其中一个 DLL 被篡改。对于此特定样本，由 Setup.exe 加载的篡改 DLL 是 flutter_gpu_texture_renderer_plugin.dll。

执行文件时，它会显示错误但已在后台运行。

图20. 执行 EXE 文件时的错误消息，使用户认为运行失败

在后台，以下事件已经发生。

图21. 与此案例相关的事件

将恶意代码注入合法二进制文件，如 more.com、StrCmp.exe、SearchIndexer.exe 和 explorer.exe，以逃避安全防御的检测。

它丢弃附加文件，这些文件是信息窃取器或来自不同家族的恶意软件。

图22. 执行配置文件突出显示对合法 Windows 文件的进程注入并使用它下载附加有效负载

创建自动运行注册表条目和计划任务以确保持续持久性。

图23. 通过注册表修改安装的持久性

图24. 通过创建计划任务安装的持久性

随后观察到注入的进程启动了 C&C 通信。

图25. 注入的 explorer 连接到 C&C 地址

窃取器/加载器捆绑包

这次，不仅仅是一个信息窃取器，而是一批最近嘈杂的窃取器。这并不新鲜，因为之前也观察到与 raccoon 窃取器类似的情况。

案例中观察到的窃取器：

LUMMASTEALER
PRIVATELOADER
MARSSTEALER
AMADEY
PENGUISH
VIDAR

案例中观察到的不同防御逃避方法回顾

利用大文件大小 – 一种绕过沙箱功能的方法
密码保护的 zip 文件阻碍内容扫描，如果密码不可用，可能会使调查复杂化。
文件上传到已知的媒体分享站点，大多数防病毒程序只有在下载前发现确切链接时才会检测到。
在某些情况下，下载链接被缩短，防止站点抓取。
操作使用合法文件，并采用 DLL 侧加载或进程注入来执行其有效负载。

Managed XDR 如何在假安装包信息窃取器感染案例中提供帮助

深度防御是组织用于保护其环境的重要策略。在威胁可能逃避某些防御层的情况下，Managed XDR 可以实时检测这些事件。它提供必要的分析和行动以有效遏制威胁。

威胁狩猎和人工分析师增强的警报 – 某些活动可能未被警报捕获或可能生成低严重性警报，Trend Vision One 用户可能会忽略这些警报。威胁狩猎主动搜索已知的战术、技术和程序 (TTP) 或新兴威胁，确保发出警报。此外，托管检测和响应 (MDR) 分析师可以确定某些检测是否需要客户的进一步关注，减轻 Trend Vision One 用户检查每个警报的负担。
理解警报上下文 – 当威胁活动生成检测时，需要进一步关联以提供上下文并捕获事件的完整叙述。将我们的发现与初始警报联系起来后，很明显，草案中的大多数发现未包含在单个警报或检测中。此外，某些实例缺乏任何相关检测，仅通过使用搜索应用程序的进一步调查连接。如之前分享的案例发现所示，这些见解是通过 MXDR 分析师对初始触发器的更深入调查获得的，其中可能包括威胁狩猎或从工作台生成的警报。
实施响应行动 – 随着假安装包感染的进展，MXDR 分析师可以代表客户启动响应行动以遏制威胁。在我们处理的案例中，我们隔离了受影响的机器以防止进一步传播。已将妥协指标 (IOC) 添加到可疑对象 (SO) 列表以阻止任何额外执行，并将可疑文件提交给分析团队以进行准确检测。

结论

威胁行为者继续使用社会工程策略 targeting 其受害者，并应用不同方法避免安全防御，包括：DLL 侧加载、使用大安装程序文件、密码保护的 ZIP 文件、进程注入到合法进程、连接到合法网站以及创建文件副本并重命名以显得良性。

保持对当前威胁的更新并对检测和警报系统保持警惕非常重要。可见性很重要，因为仅依赖检测可能导致许多恶意活动被忽视。组织应考虑以下事项以保持领先于这些威胁：

实施多层防御方法以进行深度防御。
提供用户教育。
建立事件响应计划。
参与威胁狩猎。
使用托管安全服务提供商 (MSSP)。

组织可以利用 Trend Vision One™ – 端点安全为用户端点、服务器、云工作负载和数据中心提供预防、检测和响应。

Managed XDR 提供 24/7 托管检测和响应 (MDR) 服务，覆盖电子邮件、端点、服务器、云工作负载和网络，由我们世界级的 MDR 团队支持。

Trend Vision One 威胁情报

为了保持领先于不断发展的威胁，Trend Micro 客户还可以在 Trend Vision One 中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先，并更好地为新兴威胁做好准备。它提供关于威胁行为者、其恶意活动及其使用技术的全面信息。通过利用此情报，客户可以采取主动步骤保护其环境、减轻风险并有效响应威胁。

Trend Vision One 情报报告应用 [IOC 扫描]

破解和安装程序如何将恶意软件带到您的设备

Trend Vision One 威胁洞察应用

新兴威胁：破解和安装程序如何将恶意软件带到您的设备

狩猎查询

Trend Vision One 搜索应用 Trend Vision One 客户可以使用搜索应用匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。    潜在的 autoit 脚本构建 parentCmd:(".exe") AND processCmd:("/c move*.cmd*&.cmd") AND objectCmd:("/c copy /b ..*+ ..*") 更多狩猎查询可供启用 威胁洞察权限的 Trend Vision One 客户使用。

妥协指标 (IoC)

在此处下载完整的 IOC 列表。

作者

Ryan Maglaque 事件响应分析师

Jay Nebre 威胁分析师

Allixon Kristoffer Francisco 助理安全分析师

Gunra 勒索软件组发布高效 Linux 变体
预防零点击 AI 威胁：来自 EchoLeak 的见解
解锁 Amazon Security Lake 用于主动安全的力量

查看所有文章

Trend Vision One™ - 主动安全从这里开始。

资源

博客 | 新闻室 | 威胁报告 | 查找合作伙伴

支持

商业支持门户 | 联系我们 | 下载 | 免费试用

关于 Trend

关于我们 | 职业 | 地点 | 即将举行的活动 | 信任中心

国家总部

Trend Micro - 美国 (US) 225 East John Carpenter Freeway Suite 1500 Irving, Texas 75062 电话：+1 (817) 569-8900

选择国家/地区

美国 | 巴西 | 加拿大 | 墨西哥 | 南非 | 中东和北非 | 比利时 | 捷克共和国 | 丹麦 | 德国、奥地利瑞士 | 西班牙 | 法国 | 爱尔兰 | 意大利 | 荷兰 | 挪威 | 波兰 | 芬兰 | 瑞典 | 土耳其 | 英国 | 澳大利亚 | 香港 | 印度 | 印度尼西亚 | 日本 | 韩国 | 马来西亚 | 蒙古和格鲁吉亚 | 新西兰 | 菲律宾 | 新加坡 | 台湾 | 泰国 | 越南

免费体验我们的企业网络安全平台

申请您的 30 天试用

隐私 | 法律 | 可访问性 | 使用条款 | 网站地图

此网站使用 cookie 用于网站功能、流量分析、个性化、社交媒体功能和广告。我们的 Cookie 通知提供更多信息并解释如何修改您的 cookie 设置。了解更多 Cookie 设置接受复制链接 ✓ 感谢分享！查找任何服务 AddToAny 更多…

深度解析：假安装包与破解软件感染链的XDR分析

本文通过Trend Micro™ Managed XDR服务分析假安装包和破解软件的感染链，揭示攻击者如何利用YouTube等平台传播恶意软件，使用加密手段逃避检测，并窃取浏览器敏感数据。