“微信支付”勒索病毒愈演愈烈邊勒索邊竊取支付寶密碼

2018-12-04 Comments 0 Comment

12月1日爆發的”微信支付”勒索病毒正在快速傳播，感染的電腦數量越來越多。病毒團伙入侵並利用豆瓣的C&C服務器，除了鎖死受害者文件勒索贖金（支付通道已經關閉），還大肆偷竊支付寶等密碼。首先，該病毒巧妙地利用”供應鏈污染”的方式進行傳播，目前已經感染數万台電腦，而且感染範圍還在擴大；

一、概述

其次，該病毒還竊取用戶的各類賬戶密碼，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號。其次，該病毒還竊取用戶的各類賬戶密碼，包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度雲盤、京東、QQ賬號。

火絨團隊強烈建議被感染用戶，除了殺毒和解密被鎖死的文件外，盡快修改上述平台密碼。

圖：日均感染量圖，最高13134台（從病毒服務器獲取的數據）

據火絨安全團隊分析，病毒作者首先攻擊軟件者的電腦，感染其用以編程的”易語言”中的一個模塊，導致開發者所有使用”易語言”編程的軟件均攜帶該勒索病毒。廣大用戶下載這些”帶毒”軟件後，就會感染該勒索病毒。整過傳播過程很簡單，但污染”易語言”後再感染軟件的方式卻比較罕見。截止到12月3日，已有超過兩萬用戶感染該病毒，並且被感染電腦數量還在增長。

圖：供應鏈污染流程

此外，火絨安全團隊發現病毒製作者利用豆瓣等平台當作下髮指令的C&C服務器，火絨安全團隊通過解密下發的指令後，獲取其中一個病毒後台服務器，發現病毒作者已秘密收取數万條淘寶、天貓等賬號信息。

二、樣本分析

近期，火絨追踪到使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt在12月1日前後大範圍傳播，感染用戶數量在短時間內迅速激增。通過火絨溯源分析發現，該病毒之所以可以在短時間內進行大範圍傳播，是因為該病毒傳播是利用供應鏈污染的方式進行傳播，病毒運行後會感染易語言核心靜態庫和精易模塊，導致在病毒感染後編譯出的所有易語言程序都會帶有病毒代碼。供應鏈污染流程圖，如下圖所示：

供應鏈污染流程圖

編譯環境被感染後插入的惡意代碼

在易語言精易模塊中被插入的易語言惡意代碼，如下圖所示：

精易模塊中的惡意代碼

在被感染的編譯環境中編譯出的易語言程序會被加入病毒下載代碼，首先會通過HTTP請求獲取到一組加密的下載配置，之後根據解密出的網址下載病毒文件到本地執行。如上圖紅框所示，被下載執行的是一組”白加黑”惡意程序，其中svchost為前期報告中所提到的白文件，svchost運行後會加載執行libcef.dll中所存放的惡意代碼。下載執行病毒相關代碼，如下圖所示：

下載病毒文件相關代碼

病毒代碼中請求網址包含一個豆瓣鏈接和一個github鏈接，兩者內容相同，僅以豆瓣鏈接為例。如下圖所示：

請求到的網頁內容

上述數據經過解密後，可以得到一組下載配置。如下圖所示：

被解密的下載配置

解密相關代碼，如下圖所示：

解密代碼

通過配置中的下載地址，我們可以下載到數據文件，數據文件分為兩個部分：一個JPG格式圖片文件和病毒Payload數據。數據文件，如下圖所示：

數據文件

libcef.dll

libcef.dll中的惡意代碼被執行後，首先會請求一個豆瓣網址鏈接（https://www.douban.com/note/69 *56/）。與被感染的易語言編譯環境中的病毒插入的病毒代碼邏輯相同，惡意代碼可以通過豆瓣鏈接存放的數據，該數據可以解密出一組下載配置。解密後的下載配置，如下圖所示：

下載配置

下載代碼，如下圖所示：

下載截取後的有效惡意代碼數據中，包含有用於感染易語言編譯環境的易語言核心靜態庫和精易模塊。除此之外，下載的Payload文件中還包含有一個Zip壓縮包，配合在病毒代碼中所包含的通用下載邏輯，此處的Zip壓縮包可能被替換為任意病毒程序。因為病毒作者使用供應鏈污染的傳播方式，導致相關病毒感染量呈指數級增長。相關代碼，如下圖所示：