趨勢科技的研究人員最近發現了一個新出現的攻擊活動，該活動會傳播了一個Credential Stealer程序，其主要代碼組件是用AutoHotkey(AHK)編寫的。

攻擊者一直在尋找一種方法來在受害者計算機上執行文件并避免不被檢測到。最常用的一種方法是涉及使用腳本語言，該腳本語言在受害者的操作系統中沒有內置編譯程序，并且沒有其編譯程序或解釋程序就無法執行。 Python，AutoIT和AutoHotkey(AHK)是此類腳本語言的一些示例。特別是，AHK是Windows的一種開源腳本語言，旨在提供簡單的鍵盤快捷鍵或熱鍵、快速的微創建和程序自動化，AHK還允許用戶使用其代碼創建“compiled” .EXE。

[[359230]]

在12月中旬，研究人員發現了一個傳播Credential Stealer的活動。研究人員還了解到，該活動的主要代碼部分是使用AHK編寫的。通過跟蹤活動的組成部分，研究人員發現其活動始于2020年初。惡意程序感染包括多個階段，這些階段從惡意Excel文件開始。反過來，此文件包含AHK腳本編譯程序可執行文件，惡意的AHK腳本文件和Visual Basic for Applications(VBA)AutoOpen宏。完整的攻擊鏈如圖1所示。研究人員的遙測技術跟蹤了惡意程序的命令和控制(C&C)服務器，并確定這些服務器來自美國、荷蘭和瑞典。研究人員還了解到，該惡意程序一直將攻擊目標針對美國和加拿大的金融機構。

刪除的adb.exe和adb.ahk在此感染中起到了關鍵作用，adb.exe是合法的可移植AHK腳本編譯程序，其工作是在給定路徑下編譯和執行AHK腳本。默認情況下(不帶參數)，此可執行文件在同一目錄中執行具有相同名稱的腳本。被刪除的AHK腳本是一個下載程序客戶端，負責實現持久性，分析受害者，下載和執行受害者系統上的AHK腳本。

為了保持持久性，下載程序客戶端會在啟動文件夾中為adb.exe創建一個自動運行鏈接，該可移植編譯程序用于編譯和執行AHK腳本。默認情況下(不帶任何傳遞參數)，此可執行文件在同一目錄(本例中為adb.ahk)中執行具有相同名稱的AHK腳本。

該腳本通過基于C驅動器的卷序列號為每個受害者生成唯一的ID來對每個用戶進行配置。然后，該惡意程序將經歷無限循環，并開始每五秒鐘發送一次帶有生成ID的HTTP GET請求。此ID用作其命令和控制(C&C)服務器的請求路徑，以在受感染的系統上檢索和執行AHK腳本。

為了執行命令，該惡意程序接受每個受害者不同任務的各種AHK腳本，并使用相同的C&C URL執行這些腳本，而不是在一個文件中實現所有模塊并接受執行命令的命令。通過這樣做，攻擊者可以決定上傳特定腳本以實現針對每個用戶或用戶組的自定義任務。這也可以防止主要組件被公開，特別是向其他研究人員或沙盒公開。實際上，盡管研究人員注意到這種攻擊早在2020年初就開始了，但沙箱仍未發現任何命令。這表明，攻擊要么選擇何時將命令實際發送到受感染的受害者計算機，要么C&C服務器的快速變化使其難以跟蹤。到目前為止，研究人員發現了五臺C&C服務器和僅兩個命令：deletecookies 和passwords。

在下載的客戶端下載組件中，研究人員觀察到一個用AHK編寫的Credential Stealer。該腳本負責從各種瀏覽器中收集憑據并將其泄漏給攻擊者。值得注意的是，這種Credential Stealer的一個變體以特定的網站為目標。其中包括加拿大的主要銀行，如圖2所示。

加拿大銀行的客戶信息被泄漏

一個有趣的方面是，AHK提供了腳本，其中包含俄語的使用說明。這表明攻擊鏈的創建背后是一個“hack-for-hire”組織。下面幾節將描述圖1中所示的攻擊鏈的詳細信息。

惡意組件分析

如果用戶啟用宏來打開Excel文件，則VBA AutoOpen宏將刪除并通過可移植的AHK腳本編譯程序執行AHK下載程序客戶端腳本。

Excel文件中的VBA下載程序

默認情況下，已刪除的可移植AHK腳本編譯程序adb.exe在同一目錄中以相同名稱執行AHK腳本。在這種情況下，adb.exe自動檢測并執行adb.ahk腳本。

AHK下載程序腳本

如前所述，adb.ahk是一個下載程序客戶端，它負責持久性，對受害者進行性能分析以及每五秒鐘連續在受害者系統中下載和執行AHK腳本。該惡意程序向其C&C服務器發送HTTP GET請求，以便在受感染的計算機中下載并執行AHK腳本。

AHK下載程序發送的HTTP GET請求

服務器的響應將保存到名為adb.exe〜的文件中，adb.exe〜是AHK純文本腳本，它不是可執行文件。圖5中的HTTP GET請求路徑是受害者的唯一ID，其格式如下：

[[359231]]

重要的是要注意，在其他一些變體中，“-xl2”被替換為“-pro”。在adb.ahk執行下載的AHK腳本之前，它首先檢查文件的末尾是否存在特定字符(“〜”)。如果找到該字符，則繼續執行。

此外，該惡意程序還會在啟動文件夾中創建一個自動運行鏈接，該鏈接指向名為“GraphicsPerfSvc.lnk”的adb.exe AHK腳本編譯程序。如前所述，默認情況下，編譯程序執行具有相同名稱和目錄的AHK腳本。

Credential Stealer的最后一行

分析Credential Stealer

下載程序客戶端下載的一個腳本是瀏覽器憑據竊取程序，在以下部分中，研究人員將研究此惡意腳本的實現、函數和網絡通信。

一旦成功執行，該惡意軟件通過HTTP POST請求向C&C服務器發送狀態日志 (“passwords: load”)：

惡意程序發送的狀態日志

與adb.ahk一樣，此腳本還會根據C驅動器的卷序列號為其受害者生成唯一的ID。然后，將生成的唯一受害者ID用于跟蹤感染，并且對于每個受害者始終保持相同。

然后，Credential Stealer嘗試在受害計算機上下載“sqlite3.dll”。該惡意程序使用此DLL對瀏覽器的應用程序文件夾中的SQLite數據庫執行SQL查詢。

Credential Stealer下載sqlite3.dll并發送執行狀態

從上面的代碼段中，研究人員可以看到惡意程序再次檢索了C驅動器的卷序列號，并搜索了兩個硬編碼的序列號605109072和605109072。這兩個序列號已用于調試目的，退出時會腳本在消息框中顯示SendLog()函數參數。值得注意的是，此調試技術也已在此腳本的各種函數中看到。

值得注意的是，惡意程序作者使用以下開源代碼通過AHK處理SQLite數據庫。

AHK的開源SQLite類

該惡意程序的主要目的是從各種瀏覽器(例如Microsoft Edge，Google Chrome，Opera，Firefox和Internet Explorer(IE))中竊取憑據。為了實現此任務，惡意程序使用以下函數：

Credential Stealer函數

下圖演示了上述函數的執行過程：

與Chrome，Edge和Opera瀏覽器相關的函數概述

Firefox竊取程序函數概述

IE竊取程序函數概述

該惡意程序會識別受害計算機中安裝的瀏覽器并通過SendLog()函數將其發現報告給其C&C服務器。如果未安裝目標瀏覽器，則該惡意程序會將其標記為“not_found”:

可以看出，惡意程序將“Opera_not_found”發送到C&C服務器，因為它沒有在已安裝的瀏覽器中找到Opera。

另一方面，如果目標瀏覽器在受害計算機中，則惡意程序將其標記為“ _ok”，如下圖所示：

由于Chrome是已安裝的瀏覽器之一，因此惡意程序會將“Chrome_ok”發送到C&C服務器。

以下代碼段演示了惡意程序如何搜索Chrome，Edge和Opera的登錄數據。

惡意程序會找到已安裝的瀏覽器

對于Internet Explorer密碼竊取程序，開發者從開源IE密碼信息竊取程序中借用了一些代碼，并將其轉換為AHK。

IE竊取程序

數據滲漏

最終，該惡意程序通過HTTP POST請求從受害者計算機上已安裝的瀏覽器中收集到的憑據發送給攻擊者。值得注意的是，對于每個瀏覽器，惡意程序都會嘗試解密憑據并將其以純文本的形式發送到C&C。

憑證泄漏的示例

憑證泄漏

關于這個活動的另一件有趣的事情是，下載的組件在代碼級別上組織得非常好。這些下載的組件也有主要函數和變量的注釋格式的使用說明。因此，此行為可能表明，此代碼不僅供其開發者使用，還可供其他人作為服務或獨立對象使用。

總結

惡意程序的感染包括以惡意Excel文件開始的多個階段，如果用戶啟用了宏以打開Excel文件，則VBA AutoOpen宏將刪除并通過合法的可移植AHK腳本編譯程序執行下載程序客戶端腳本。下載程序客戶端負責實現持久性，分析受害人以及在受害人系統中下載并執行AHK腳本。該惡意程序沒有從C&C服務器接收命令，而是下載并執行AHK腳本來執行不同的任務。下載的腳本是針對各種瀏覽器(例如Google Chrome，Opera，Edge等)的Credential Stealer。Credential Stealer從瀏覽器收集和解密憑據，然后通過HTTP POST請求將信息泄漏到攻擊者的服務器。

事實上，通過在受害者的操作系統中使用一種缺乏內置編譯程序的腳本語言，加載惡意組件以分別完成各種任務以及頻繁更改C&C服務器，攻擊者已經能夠從沙盒中隱藏其意圖。

IOCs

本文翻譯自：

https://www.trendmicro.com/en_us/research/20/l/stealth-credential-stealer-targets-us-canadian-bank-customers.html