你是否知道有这样一种银行木马?
擅长以恶意邮件为载体
来窃取财务凭证等重要信息
横行霸道十余载
仍在不断进化
键盘记录、后门功能和逃避检测
均不在话下
让我们一起揭开Qakbot的邪恶面纱
Qakbot银行木马通常是通过电子邮件附件传播,一旦受害者点击邮件附件,QAKBOT就会安装到受害主机上,收集受害主机上的信息并上报C&C服务器。近日,亚信安全截获了携带QAKBOT木马的最新电子邮件样本,与以往不同的是,此次截获的电子邮件带有一个HTML文件附件,采用了HTML偷渡技术有效规避杀软检测,可以帮助攻击者将恶意的有效载荷隐藏在看似正常的HTML文件中,来规避内容过滤器和防火墙的检测,从而进行恶意代码分发。
码版本17.881.60,云病毒码版本17.881.71,全球码版本17.881.00已经可以检测,请用户及时升级病毒码版本;
亚信安全DDAN沙盒平台可以检测该木马的恶意行为:
我们以最新截获的电子邮件为例进行分析,该电子邮件携带一个HTML文件附件(FXS_6027130.html),用户一旦下载该HTML附件,并在浏览器中打开,就会下载一个有密码保护的ZIP档案(FXS_6027130.zip),解压密码会显示在浏览器中,该ZIP文档则包含一个ISO文件。
打开下载的html文件进行分析,我们发现,zip档案通过base64编码的形式存储在JavaScript变量中,用户打开html文件后javascript代码自动运行,将base64编码的信息还原然后弹出下载框,用户点击ok后,就会将zip档案保存到用户指定的位置。
解压下载好的zip档案,里面包含一个ISO文件。直接装载此ISO文件,用户只会看到一个LNK快捷方式,其他的文件均是隐藏文件。
我们用7zip打开ISO文件后,才能发现其他隐藏的文件。
QAKBOT LOADER –WMK9.DAT分析
该loader是一个dephi程序,运行后进行解密操作,在内存中解密出QAKBOT本体然后跳转执行。
解密出的QAKBOT本体是C++编译的 Dll文件。
运行后首先通过API GetFileAttributes检查C:INTERNAL__empty属性,如果API返回失败则会退出运行。
判断环境变量SELF_TEST_1 的状态,来决定是否继续执行恶意例程。
其中的Base64编码解码后如下:
regsvr32.exe “C:UsersAdministratorAppDataLocalTempS6SQEQ6WMK9.DAT.dll”
将本机信息发送给远程C&C服务器:
原文始发于微信公众号(亚信安全):威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式