设为首页 - 加入收藏 阳江站长网 (http://www.mxzcj.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 平台 图片 网络 模式
当前位置: 主页 > 站长资讯 > 评论 > 正文

微信支付勒索病毒愈演愈烈 边勒索边窃取支付宝密码

发布时间:2018-12-10 02:35 所属栏目:[评论] 来源:佚名
导读:副标题#e# 感谢火绒安全的投递 12月1日爆发的微信支付勒索病毒正在快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的CC服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。首先,该病毒巧妙地利用供应链污染的方式

感谢火绒安全的投递

12月1日爆发的"微信支付"勒索病毒正在快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的C&C服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。首先,该病毒巧妙地利用"供应链污染"的方式进行传播,目前已经感染数万台电脑,而且感染范围还在扩大;

一、概述

其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度 云盘 、 京东 、QQ账号。其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。

火绒团队强烈建议被感染用户,除了杀毒和解密被锁死的文件外,尽快修改上述平台密码。

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

图:日均感染量图,最高13134台(从病毒 服务器 获取的数据)

据火绒安全团队分析,病毒作者首先攻击软件 开发 者的电脑,感染其用以编程的"易语言"中的一个模块,导致开发者所有使用"易语言"编程的软件均携带该勒索病毒。广大用户下载这些"带毒"软件后,就会感染该勒索病毒。整过传播过程很简单,但污染"易语言"后再感染软件的方式却比较罕见。截止到12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

图:供应链污染流程

此外,,火绒安全团队发现病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,火绒安全团队通过解密下发的指令后,获取其中一个病毒后台服务器,发现病毒作者已秘密收取数万条淘宝、天猫等账号信息。

二、样本分析

近期,火绒追踪到使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt在12月1日前后大范围传播,感染用户数量在短时间内迅速激增。通过火绒溯源分析发现,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒传播是利用供应链污染的方式进行传播,病毒运行后会感染易语言核心静态库和精易模块,导致在病毒感染后编译出的所有易语言程序都会带有病毒代码。供应链污染流程图,如下图所示:

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

供应链污染流程图

编译环境被感染后插入的恶意代码

在易语言精易模块中被插入的易语言恶意代码,如下图所示:

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

精易模块中的恶意代码

在被感染的编译环境中编译出的易语言程序会被加入病毒下载代码,首先会通过HTTP请求获取到一组加密的下载配置,之后根据解密出的网址下载病毒文件到本地执行。如上图红框所示,被下载执行的是一组"白加黑"恶意程序,其中svchost为前期报告中所提到的白文件,svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相关代码,如下图所示:

下载病毒文件相关代码

病毒代码中请求网址包含一个豆瓣链接和一个github链接,两者内容相同,仅以豆瓣链接为例。如下图所示:

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

请求到的网页内容

上述数据经过解密后,可以得到一组下载配置。如下图所示:

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

被解密的下载配置

解密相关代码,如下图所示:

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

解密代码

通过配置中的下载地址,我们可以下载到数据文件,数据文件分为两个部分:一个JPG格式图片文件和病毒Payload数据。数据文件,如下图所示:

\"微信支付\"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

数据文件

libcef.dll

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章
金亚洲信誉