Malsmoke攻击活动延续，使用Zloader并伪造安全厂商文件，国内受影响

Malsmoke攻击活动延续，使用Zloader并伪造安全厂商文件，国内受影响 – 作者:安恒威胁情报中心

本文作者：安恒威胁情报中心猎影实验室

01 背景

近日，安恒威胁情报中心猎影实验室在日常威胁追踪过程中捕获到多个伪造成国内厂商相关文件的ZLoader样本。ZLoader是臭名昭著的Zeus银行恶意软件的一种变体，其主要功能是窃取目标受害者的银行金融凭据以及浏览器中存储的密码和Cookie等私人信息。通过分析溯源，我们发现其与Malsmoke攻击活动存在极大关联，疑似该攻击活动将触手伸向国内，并且已有金融机构受到影响。

02 样本分析

Zloader通常使用邮件附件、PDF文档、Word文档等形式进行传播。而本次我们捕获的样本使用了受密码保护的Excel工作表。密码统一为：777。

以下对“details1510p.xls”文档进行分析。

输入密码后，表格正文使用模糊图片诱导用户启用宏代码。

该工作表会利用Excel 4.0宏下载ZLoader并执行。其宏代码隐藏在名为:“FBp”的工作表中，将表格缩小后可以看到隐藏在各处的宏代码。

下载的Zloader程序存储在系统盘“C:\KBrGQyx\lYlIUiQ\oOqVGCp.dll”路径下。该文件附带数字签名“CLXDFYLWWTFMRCBOBM”，且将自身伪造成了国内友商名称的扩展文件。（通过签名信息可以关联到多个同类型样本）

然后通过rundll32加载oOqVGCp.dll 执行后续操作。将自身拷贝到“C:\Users\admin\AppData\Roaming\Fyor\fiut.dll”路径，在Run注册表下添加启动项，实现持久化。

随后使用cmd执行：“/c ipconfig /all”、“/c net config workstation”等命令获取主机相关信息后，与服务器连接进行通讯： fqnceas[.]su、fqnvsdaas[.]su、fqnvtcpheas[.]su、fqnvtmophfeas[.]ru。

03 背景

通过安恒威胁情报中心平台对样本进行关联分析，我们发现了多个同类型的样本，比如名为：“details_2909s.xls”的样本。该样本在命名规则，文档内容等方面与本次样本基本一致，文档密码换成了：555。

而其余样本中的诱饵xls文档则并没有设置访问密码，初步推测可能属于稍早期攻击样本。

除了“ZLoader”家族，我们还发现了其它家族的攻击样本，例如以上表格提到的的“details_0910p.xls”，属于“Buer Loader”家族。另外也会使用Raccoon Stealer等。

通过对“fqnvsdaas[.]su”域名进行关联，我们发现了两个“Smoke Loader”家族样本。样本回连C2：“2831ujedkdajsdj[.]info”已在《Malvertising campaigns come back in full swing》文章中披露，文章将其提到的活动称为“malsmoke”攻击活动。

此前Malsmoke攻击活动曾利用色情网站植入漏洞利用代码对浏览者发起攻击，以此来下发Smoke Loader， Raccoon Stealer和ZLoader等恶意软件。而本次则使用带有宏代码的诱饵文档进行投递。这应该是该威胁组织的另一种攻击手法。且存在伪造国内安全厂商相关文件的恶意样本，可见国内用户也是其目标。目前已有金融机构受到影响。

04 总结

Malsmoke攻击活动较为频繁，攻击手法也较为成熟，。猎影实验室提醒广大用户，不要轻易接收来历不明的邮件附件，不要轻易点击可疑文件。提高自身网络安全意识，减少此类攻击事件发生。

05 IOC

bf43e783b12e3dd05f3dcefbffcc8802

c6ca732e3b969f57cdbe29498779af69

25c97bdfd4dcc6c9a8cf713d057d1156

ec8fcb4756bc4c0ab2b9484991d5f94b

32cd59ae3ede30645fa4784165c414e0

7a4007ff2d2de2ab787ceb11ad02db60

25326e375c9641dabc94d8f637d1e9cf

e305faa66a8defa8667a143f2c096ff0

675a9af19ca74d9e26755adc9fa24837