慢雾：伪 Electrum 鱼叉钓鱼攻击分析

By：爱上平顶山@慢雾安全团队

前言

近日，慢雾安全团队收到情报，有专业黑产团队针对交易所用户进行大规模邮件批量撒网钓鱼攻击。

钓鱼邮件如图：

慢雾安全团队收到情报后，第一时间展开分析。

以下是详细分析过程：

攻击细节

我们点击跳转目标页面：

从上图可以看到，针对 Mac OS X / macOS / Windows 不同系统都给出了下载链接；链接指向黑客木马文件存放位置。

于3 天前，创建的账号，里面存在两个项目：

b*****.github.io

b****t

上图样本“Bi****-Setup.exe” 是 Windows 下的恶意文件。

“index.html” 是一个仿冒的升级提示页面，诱导用户升级下载。

详细分析

接下来我们对Windows端和Mac端分别进行分析：

1.Windows 端：

下图为样本“Bi****-Setup.exe” 数字签名：

（1）EXE 文件基本信息

文件名称：B****-KYC-Setup.exe

子文件信息：

script.txt / 877da6cdd4eb284e2d8887b24a24168c / Unknown

setup.exe / fe1818a5e8aed139a8ccf9f60312bb30 / EXE

WinSCP.exe / e71c39688fad97b66af3e297a04c3663 / EXE

（2）关键行为

行为描述：屏蔽窗口关闭消息

详情信息：hWnd = 0x00030336, Text = Deep Onion Setup: Completed, ClassName = #32770

（3）进程行为

行为描述：创建本地线程

详情信息：

（4）行为描述：创建新文件进程

详情信息：

（5）文件行为

行为描述：创建文件

详情信息：

（6）行为描述：创建可执行文件

详情信息：

（7）行为描述：覆盖已有文件

详情信息：

（8）行为描述：查找文件

详情信息：

（9）行为描述：删除文件

详情信息：

（10）行为描述：修改文件内容

详情信息：

（11）网络行为

行为描述：建立到一个指定的套接字连接

详情信息：

IP: **.138.40.**:128, SOCKET = 0x000001d0

IP: **.138.40.**:128, SOCKET = 0x000001cc

我们测试打开，自解压:

结果发现用于上传本地用户信息的FTP 账号密码，同时有一个正常的Electrum Installer 文件，一旦用户安装后使用，在Electrum 下输入的敏感信息将被发送到远程恶意 FTP 服务器接收。

2020年06月02日 开始，已经有用户陆续中招。

2.Mac 端：

（1）安装命令：

（2）脚本内容：

（3）恶意地址：https://github.com/deep-onion

(模仿知名项目https://deeponion.org/的Github地址https://github.com/deeponion)

恶意地址下也有两个项目：

deep-onion.github.io

wallet

https://github.com/deep-onion/deep-onion.github.io

此文件此处不做分析。

（4）Mac 端

https://github.com/deep-onion/wallet

恶意文件是DeepOnion

执行恶意脚本后是一系列恶意操作，

如：

大致流程

通过以上一些列操作，从而盗取用户隐私信息。

备注：

C2 信息：

crontab.site

邮箱[email protected]

phone_tag +7.9453949549

注册时间2020-04-20 17:47:03

过期时间2021-04-20 23:59:59

更新时间2020-04-20 17:47:04

慢雾建议

针对本次攻击事件慢雾安全团队建议：

认清官方邮箱后缀

谨慎对待未知来源邮件里的链接与附件

怀疑一切以“升级”、“账号异常”等理由的邮件

对于需要处理但可疑的邮件内容，需及时咨询专业人员

欢迎随时联系慢雾安全团队[email protected]

本文来源：慢雾科技
原文标题：慢雾：伪 Electrum 鱼叉钓鱼攻击分析

—-

编译者/作者：慢雾科技

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。