上個月，FortiGuard Labs 發現了一項針對尋找盜版軟件的 YouTube 觀眾進行的正在進行的威脅活動。這些視頻是由擁有大量訂閱量的驗證 YouTube 頻道上傳的，廣告下載“破解”(即盜版) 軟件。受害者被引導執行惡意二進制文件，并在他們的系統中安裝多個惡意軟件，旨在收集憑證、進行加密貨幣挖礦和從錢包中竊取加密貨幣資金。

· 受影響的平臺：Windows；

· 受影響的用戶：任何組織；

· 影響：遠程攻擊者竊取憑據、敏感信息和加密貨幣，并在系統上執行加密劫持；

· 嚴重級別：嚴重。

號稱可以教你破解軟件的YouTube視頻

上傳的視頻使用“Adobe Acrobat Pro dc Crack 2023免費完整版/Adobe Acrobat免費下載”等標題引誘用戶搜索盜版軟件。一些視頻還顯示了使用盜版軟件的教程，盡管在大多數情況下，它們只是顯示與軟件產品無關的靜態圖像。

上傳視頻截圖

為了提高可信度，惡意軟件活動利用了擁有大量關注度的經過驗證的YouTube頻道。其中一個YouTube頻道擁有近300萬訂戶。由于這些YouTube頻道過去曾上傳過合法視頻，我們懷疑這些賬戶可能已被攻擊。

上傳破解軟件視頻的YouTube賬號

一些視頻也發布了類似的評論（可能是自動生成的），這表明有可能進行自動視頻上傳和評論。

自動生成的注釋

潛在的受害者被誘導從文件共享服務下載受密碼保護的文件。惡意URL和密碼（通常是四個數字）位于視頻的描述和評論部分。

來自上傳者的帶有惡意鏈接的評論

視頻似乎是批量上傳的，例如，其中一個賬戶在8小時內上傳了50多個視頻，提供了不同的盜版軟件，這些軟件都指向同一個URL。視頻會在一段時間后被刪除，之后攻擊者會將視頻上傳到其他賬戶。

攻擊鏈

攻擊鏈

如上圖所示，通過YouTube視頻描述中提供的URL下載RAR文件2O23-F1LES-S0ft.RAR后，受害者必須使用與URL一起列出的密碼“1212”解壓縮文件，并運行其中包含的Launcher_S0ft-2O23.exe。該文件還包含多個未使用的文件和目錄，可能是為了偽裝成合法的安裝程序。下面我們將詳細分析每個組件。

launcher_soft - 2o23 .exe ——視頻竊取程序

launcher_soft - 2o23 .exe是Vidar信息處理程序。它附加了超過1GB的未使用字節，這是一種通常用于繞過防病毒和沙箱的技術，由于CPU和RAM資源有限，這些技術不會掃描超過特定大小的文件。該文件的SHA256哈希值為820bbfc1f5023af60a7048a0c25e3db51b481afd6986bf1b5ff806cf604c1f4c(原始)和e256b5ef66c4e56dac32934594b41e7e8cf432f834046e1c24c0827b120e6ddb(刪除多余字節后)。

一旦執行，它發送一個HTTP GET請求到它的命令和控制(C2)服務器79.137.206[.]228簽入和檢索竊取配置。注意，在這個GET請求中沒有User-Agent和其他典型的HTTP標頭。

Vidar注冊請求

分號分隔的配置可以解釋如下：

第一個以逗號分隔的塊包含單個數字標志，用1(啟用)或0(禁用)表示，用于切換特定的竊取功能。

基于這個配置，此竊取程序將收集本地存儲的密碼（例如FTP、SSH）、瀏覽器cookie和歷史記錄、Telegram數據和屏幕截圖。

加密貨幣錢包收集未啟用。

一個32個字符的十六進制字符串（在上圖中經過編輯）是C2服務器生成的令牌，用于后續的數據泄露請求。

其余配置值用于從受感染的計算機收集文件。在這種情況下，竊取程序遞歸地從Windows桌面目錄中收集擴展名為.txt的文件，擴展名小于50kb。

一旦敏感信息被收集并壓縮到ZIP文件中，惡意軟件就會通過HTTPPOST請求將這些數據泄露到C2中。

Vidar數據泄露請求

POST請求包含“id”，表示竊取程序，對于每個受感染的用戶都是一樣的，以及之前由C2服務器在簽入請求中提供的“令牌”。“文件”包含一個Base64編碼的ZIP文件，其中包含惡意軟件收集的數據。ZIP文件的內容如下。

包含已泄露數據的ZIP文件的內容

Information.txt包括有關操作系統、硬件、運行進程和受感染系統上安裝的軟件的信息。

information.txt

然后，C2服務器以下載和執行惡意軟件的次要有效負載列表進行響應。此示例下載用戶jesus061031r擁有的GitHub存儲庫中作為發布版本存儲的文件。具有不同文件名的類似惡意文件分散在同一用戶擁有的其他存儲庫中。

次要有效負載列表

這些文件用包含20個數字字符的隨機文件名寫入%ProgramData%，并按順序執行。一旦有效負載被執行，惡意軟件就會退出并自行刪除。對有效負載的分析將在以下章節中討論。

根據C2協議、information.txt中的系統數據格式以及泄露的ZIP文件中的文件組織，該示例被識別為Vidar竊取程序。

雖然Vidar與追蹤同一活動的其他研究人員觀察到的RecordBreaker是一個明顯不同的惡意軟件家族，但兩者都是信息竊取程序，這表明攻擊者的主要興趣是竊取憑據以繼續其惡意目標。

GUI_MODERNISTA.exe——破解下載程序

GUI_MODERNISTA.exe（SHA256:62d4caf908b3645281d5f30f5b5dc3a4beb410015196f7eaf66ca743f415668）是一個相對較小（48KB）的.NET應用程序，它將用戶重定向到文件共享網站上的硬編碼URL鏈接，該鏈接包含YouTube視頻中宣傳的據稱已破解的軟件版本。這是唯一顯示給受害者的組件，因為攻擊鏈的其他組件在后臺秘密運行。

研究人員還發現了該應用程序的Python版本（SHA256:ba9503b78bc62d4e5e22e4f8e04b28bb6179e146e1c0a6ba14dd06608facb481）。兩個版本的用戶界面如下圖所示。

破解下載程序

Vadwax.exe - Laplas Clipper

Vadwax.exe（SHA256:f91d9de259052595946250a1440a2457dbda9ee8aec8add24419ff939f13e003）的大小為1.17 GB，但主要由重復字節0x30的疊加組成，對應于ASCII中的“0”。

Vadwax.exe覆蓋

刪除未使用的覆蓋后，我們得到了一個更小的5.87MB文件（SHA256:2fcb61da34b259b9b130c0c75525697931b9dff8e7f9b2198f9db21b5193eeba）。與之前的示例一樣，這種人為的覆蓋實則是為了逃避檢測。

這個示例是Laplas Clipper，它試圖用用戶剪貼板中的錢包地址來竊取加密貨幣。它根據從C2服務器檢索到的正則表達式不斷檢查Windows剪貼板的內容。匹配后，剪貼板的內容被發送到C2服務器，C2服務器以攻擊者的錢包地址作為響應，用于替換適當的加密貨幣。這使得Laplas Clipper能夠將原始收款人的錢包地址與攻擊者的錢包地址進行切換，并將資金轉移給攻擊者。該特定示例由商業VMProtect封裝器保護，大量使用反沙箱和反分析檢查。接下來，我們將重點關注這個示例的持久性和C2通信。

持久性

此示例檢查它是否從%Appdata%目錄運行。如果沒有，它會將自己復制到%Appdata%\telemetry\svcservice.exe，并將包含隨機化字節的覆蓋附加到文件中。然后，它通過將名為telemetry的注冊表值添加到以下注冊表項來保持持久性：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

C2通信

Laplas Clipper首先通過HTTP GET請求使用當前計算機名稱和Windows用戶名（guid參數）以及64個字符的十六進制字符串（密鑰參數）向C2服務器注冊hxxp://85[.]192[.]40[.]252/bot/online?guid=

在成功注冊到C2服務器后，它向hxxp://85[.]192[.]40[.]252/bot/regex請求正則表達式。

 Laplas Clipper C2的Regexes

正則表達式在剪貼板中查找以下加密貨幣的地址（按字母順序排列）：

· Binance Coin (BNB)

· Bitcoin (BTC)

· Bitcoin Cash (BCH)

· Cardano (ADA)

· Cosmos (ATOM)

· Dash (DASH)

· Dogecoin (DOGE)

· Ethereum (ETH)

· Litecoin (LTC)

· Monero (XMR)

· Ripple (XRP)

· Ronin (RON)

· Tezos (XTZ)

· Tron (TRX)

· Zcash (ZEC)

順便說一句，laplas[.]app中的Laplas Clipper C2面板解析為85[.]192[.]40[.]252。

Laplas Clipper C2面板

Vaxa.exe——挖礦安裝程序

Vaxa.exe(SHA256: 44810cead810cd546a8983e464157a4eb98ebbd518c4f4249e6b99e7f911090f) 是一個用于嵌入式挖礦下載負載的內存加載程序。

它是一個32位的Windows控制臺應用程序，偽裝成一個用于執行和顯示一些簡單數學運算結果的程序。

偽裝成數學程序的內存加載程序

然后，它繼續解密來自其主體的shellcode和有效負載。shellcode提供了應用程序的路徑，以便在執行重定向到它之前將有效負載注入其中。

注入器shellcode的設置和執行

shellcode使用進程process hollowing技術在Regsvcs.exe中注入并執行名為Task32Main的.NET程序集（SHA256:5630c8f0dcd2393daf8477e6e419b0d0faf6780b6f1e00ad7a09fd37ddcdd3）。

Task32Main——挖礦下載程序

Task32Main是一個用于Monero加密挖掘組件的.NET下載和安裝程序。它提供支持功能，例如維護持久性和逃避檢測。更重要的是，它負責安裝看門狗組件，以確保挖礦軟件在受害者系統中保持運行。

為了避免被檢測到，它執行編碼的PowerShell命令，將以下目錄添加到Windows Defender的掃描排除列表中：

·  %SystemDrive%

·  %UserProfile%

·  %ProgramData%

然后從下載配置文件hxxps://pastebin[.]com/raw/5p5KkdBw下載其他惡意軟件有效負載及其執行參數。

挖礦組件的Pastebin配置

此配置的修改副本將作為log.uce寫入以下目錄：

·  "C:\ProgramData\HostData"；

·  "C:\Users\TRT-DESKTOP\AppData\Local\Temp"；

·  "C:\"；

這將被用作下一節中討論的看門狗組件的配置文件。

上述配置指示惡意軟件從以下url下載其他與加密相關的有效負載：

·  hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/WatchNew.exe；·  hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/xmrig.exe；

該惡意軟件創建目錄%ProgramData%\Dllhost，并將下載的文件分別保存為Dllhost.exe（挖礦看門狗）和winlogson.exe（Monero XMRig挖礦）。然后，惡意軟件修改目錄的權限以拒絕當前用戶的訪問。

%ProgramData%\Dllhost的目錄權限

為了在受害者系統中持久存在，它每小時添加幾個計劃任務來執行看門狗dllhost.exe。它通過執行以下命令來執行此操作：

計劃任務名稱模仿合法的Windows相關軟件，以阻止偶然檢測，計劃任務的名稱如下：

·  SecurityHealthSystray；

·  WindowsDefender；

·  WmiPrvSE；

·  AntiMalwareServiceExecutable；

·  Dllhost；

·  MicrosoftEdgeUpd；

·  OneDriveService；

·  NvStray；

·  ActivationRule；

它還通過執行以下命令來更改系統的電源設置，以防止其休眠，以確保其Monero cryptominer組件（稍后執行）在計算機通電時始終運行：

主機文件也被修改為將安全產品相關的域解析為IP 0.0.0.0，以禁用安全產品的通信，例如下載更新。

修改后的主機文件

最后，它執行看門狗組件%ProgramData%\dllhost.exe，該組件執行實際的加密挖礦。

Dllhost.exe——挖礦看門狗

Dllhost.exe（SHA256:d2e371810e8c7b1e039a02a578b1af0c6250665e85206b97a1ecb71aa5568443）是一個名為Task32Watch的.NET程序集。它是一個看門狗應用程序，用于執行挖礦組件，監控其進程，并確保其保持運行并使用最新的挖掘參數。

它讀取自己的配置文件log.uce，之前由安裝程序組件Task32Main釋放。它的內容與Task32Main組件下載的配置文件相同，但不包括前三行。此外，它還包括最后一行下載配置文件的Pastebin URL。

看門狗配置

此Pastebin URL允許看門狗檢索最新的XMRig挖掘參數，例如，挖掘池服務器、錢包地址、工作人員名稱“snnssnewte”等。

然后，它使用這些挖掘參數執行位于同一目錄中的挖礦winlogson.exe。

作為一個看門狗，它通過不斷枚舉系統中當前運行的進程，然后在終止時重新運行挖礦，來確保挖礦進程始終在運行。

此外，為了減少被用戶發現和終止的機會，它會阻止與系統診斷和分析工具相關的進程，如任務管理器和進程黑客。最后，它還會禁止與游戲相關的進程，這些進程通常是資源密集型的，并減少了可用于挖掘的CPU資源。

要終止的進程列表

總結

如上所述，下載盜版軟件非常不安全，因為攻擊者會利用這些其竊取用戶憑據、敏感數據甚至加密貨幣。除此之外，受感染的計算機還可能被加密劫持，稱為挖礦機。我們還觀察到，這些攻擊者的反應也非常快，每當GitHub刪除惡意存儲庫后，攻擊者就會迅速上傳類似惡意軟件的新副本。

本文翻譯自：https://www.fortinet.com/blog/threat-research/youtube-pirated-software-videos-deliver-triple-threat-vidar-stealer-laplas-clipper-xmrig-miner