Malware que rouba bitcoin hospedado em download-com em anos

BTC-Hacker

Nos dias de hoje, quando você pergunta a um especialista em segurança algumas dicas básicas para se manter seguro na Web, uma das coisas mais importantes que ele provavelmente dirá é fazer o download de software apenas de fontes legítimas. Às vezes, até mesmo um conselho tão básico e óbvio pode não salvá-lo de encontros de malware. Encontramos três aplicativos trojanized hospedados em download.cnet.com, que é um dos mais populares sites de hospedagem de software do mundo, como mostra o ranking Alexa (163).

was-one-of-the-victims-with-such-a-story-but-luckily-for-him-his-story-had-a-happy-ending

Ele notou que algo estava errado, quando ele tentou copiar e colar seu endereço Monero em outro lugar, como de costume, e o endereço de repente começou a ser recusado por ser inválido. Como um usuário experiente e consciente, ele rapidamente suspeitou que o malware estava envolvido – e ele estava certo: sua investigação do que poderia ser a causa acabou descobrindo que o malware era de fato a causa. Seu endereço de carteira copiado e copiado foi interceptado na área de transferência por malware e substituído pelo endereço de bitcoin codificado do invasor. Felizmente para Crawsh, o endereço substituído é válido apenas para bitcoin e colando seu endereço Monero, tornando-o inválido e foi detectado pelo aplicativo de destino antes que qualquer um de seus Monero fosse enviado para qualquer lugar – este obviamente não era o caso de muitas outras vítimas.8,8 BTC no total até hoje. A partir de 13 th março 2018, tem um valor estimado de cerca de 80 000 USD. Crawsh eventualmente escreveu um post com detalhes sobre seu caso no / r / monero subreddit, onde foi notado pelos pesquisadores de malware da ESET, que então começaram a investigação para ajudar a lançar alguma luz sobre o caso e rapidamente encontraram algumas informações muito interessantes.

Ao pesquisar o endereço de bitcoin do atacante no Google, conseguimos encontrar algumas vítimas. Por exemplo, alguém publicou uma postagem no blog sobre um hack de site (não relacionado a esse ladrão de malware). No entanto, no texto da postagem, o endereço original do bitcoin foi substituído pelo endereço do autor do malware, como mostrado na segunda foto. Assim, o autor do blogpost pode estar infectado com o ladrão de bitcoins.

Thus-the-blogpost-author-might-be-infected-with-the-bitcoin-stealer

Thus-the-blogpost-author-might-be-infected-with-the-bitcoin-stealer2

Descobrimos que a fonte de infecção de Crawsh era uma aplicação trojanized Win32 Disk Imager baixado download.com, onde foi hospedado desde 2 de Maio nd de 2016.
O ESET detecta o aplicativo trojanizado como uma variante do MSIL / TrojanDropper.Agent.DQJ. O programa foi baixado do CNET 311 vezes apenas na última semana e mais de 4500 vezes no total.

CNET-311-times-just-in-the-last-week-and-over-4500-times-in-total

Mais tarde, durante a investigação, descobrimos que o Imager de Disco do Win32 não é o único aplicativo trojanizado hospedado no download.com e sabemos sobre pelo menos dois outros casos dos mesmos autores. O primeiro deles é CodeBlocks, que já foi bloqueado pela CNET e contém o mesmo payload MSIL / ClipBanker.DF. O Code Blocks é um popular IDE de código aberto (Integrated Development Environment) usado por muitos desenvolvedores de C / C ++.

Code-Blocks-is-a-popular-open-source-IDE-Integrated-Development-Environment-used-by-many-CC-developers

As estatísticas de popularidade dos dois são as seguintes (informações diretamente do site download.com). Observe que o número de downloads recentes do CodeBlocks é 0, porque foi removido pelo CNET. Não sabemos a data exata da remoção, mas nossos dados de telemetria indicam que pode ter sido por volta de março de 2017.

We-do-not-know-the-exact-date-of-the-removal-but-our-telemetry-data-indicates-it-might-have-been-around-March2017.

Conta-gotas Trojanized (MSIL / TrojanDropper.Agent.DQJ)
O primeiro estágio do aplicativo trojanizado é um dropper muito simples, que extrai tanto o instalador legítimo de determinado aplicativo (Win32DiskImager, CodeBlocks, MinGw) quanto a carga maliciosa dos recursos, salva os dois arquivos na pasta% temp% e os executa.

and-the-malicious-payload-from-resources-saves-both-files-into-temp-folder-and-executes-them.

Malware substituindo carteiras na área de transferência ( MSIL / ClipBanker.DF )
A carga é muito semelhante ao dropper em termos de sua simplicidade – o programa se copia no caminho % appdata% \ Dibifu_8 \ go.exe e se adiciona à chave de execução do registro para garantir a persistência.

1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj

A substituição do endereço de bitcoin na área de transferência é obtida por um código simples de 4 linhas, que pode ser visto acima, que procura um endereço de bitcoin com um regex e o substitui pelo endereço de carteira embutida dos invasores: 1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj.

Os atacantes não se esforçaram muito para esconder sua intenção, pois até o caminho do símbolo de depuração tanto do conta-gotas quanto do ClipBanker mostra suas intenções. Pensamos que “SF to CNET” significa SourceForce para CNET, porque todos os três aplicativos têm suas instâncias limpas no armazenamento do código-fonte.

C: \ Users \ Ngcuka \ Documents \ V \ SF para CNET \ Btc Rig \ WindowsFormsApplication1 \ obj \ x86 \ Release \ WindowsFormsApplication1.pdb

WindowsFormsApplication1.pdb_

Existem vários indicadores adicionais de comprometimento que as vítimas poderiam procurar. Primeiro, a carga útil e o pacote trojanizado são descartados em y3_temp008.exe resp. Win32DiskImage_0_9_5_install.exe no diretório temporário e executado.

Outro malware que substitui carteiras na área de transferência (Win32 / ClipBanker.DY)
A carga útil é descartada pelo aplicativo MinGW-w64 trojanizado. É uma variante um pouco mais sofisticada usando expressões regulares semelhantes para a pesquisa de carteira:

The-payload-is-dropped-by-the-trojanized-MinGW-w64-application.-It-is-a-slightly-more-sophisticated-variant-using-similar-regular-expression-for-the-wallet-search

Além disso, contém componentes maliciosos adicionais criptografados nos recursos, juntamente com cerca de 3500 endereços de bitcoin dos invasores, que são usados ​​para substituir os endereços da vítima por um endereço semelhante com base nos três primeiros caracteres da chave (truncados na imagem)

3500-bitcoin-addresses-starting-with-1-truncated-in-the-picture

Cargas adicionais fornecidas com esse ladrão de bitcoin também têm caminhos do PDB. Um deles é: C: \ Users \ Ngcuka \ Documents \ V \ Flash Spreader \ obj \ x86 \ Release \ MainV.pdb . O nome de usuário é idêntico ao encontrado no caminho do PDB do primeiro ladrão de bitcoin. Assim, estamos confiantes de que todas essas amostras de malware foram desenvolvidas pelo mesmo autor.

Como limpar um sistema infectado

  • Exclua os instaladores baixados chamados win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) da sua pasta de downloads
  • Remova exe na pasta% appdata% \ dibifu_8 \ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
  • Remova o y3_temp008.exe da pasta% temp% \ (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, resp. C758F832935A30A865274AA683957B8CBC65DFDE)
  • Exclua o valor do Registro ScdBcd da chave HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Durante o curso de nossa investigação, notificamos a CNET e eles removeram rapidamente os aplicativos trojanizados de seu site, evitando infecções adicionais.

Se você suspeitar que poderia ter sido comprometido, instale uma solução antivírus que deve remover os arquivos automaticamente. O melhor conselho contra o ataque de substituição da área de transferência é verificar novamente os endereços copiados ao fazer transações !!!

IoCs:

Aplicativos trojanizados:

win32diskimager.exe 0B1F49656DC5E4097441B04731DDDD02D4617566 Trojan MSIL / TrojanDropper.Agent.DQJ
codeblocks.exe 7242AE29D2B5678C1429F57176DDEBA2679EF6EB Trojan MSIL / ClipBanker.EY
mingw-w64-install.exe 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918 Trojan MSIL / TrojanDropper.Agent.DQJ

ClipBankers:

carga útil mingw-w64 # 1 BE33BDFD9151D0BC897EE0739F1137A32E4437D9 Win32 / ClipBanker.DY trojan
carga útil mingw-w64 # 2 2EABFFA385080A231156420F9F663DC237A9843B Win32 / ClipBanker.DY trojan
carga útil mingw-w64 # 3 7B1E9A6E8AF6D24D13F6C561399584BFBAF6A2B5 Win32 / ClipBanker.DY trojan
carga útil codeblocks.exe E65AE5D0CE1F675962031F16A978F582CC67D3D5 MSIL / ClipBanker.AB trojan
carga útil win32diskimager.exe E0BB415E858C379A859B8454BC9BA2370E239266 Trojan MSIL / ClipBanker.DF

Dica de chapéu para Matthieu Faou, Alexis Dorais-Joncas, David Jagoš, Roberto Šuman, Vladislav Straka e / u / Crawsh do reddit por seu trabalho nesta investigação.

HostFirewall