還在找免費版或破解版? 小心被挖礦、竊取社群網路帳號,甚至盜刷信用卡

趨勢科技最近發現一些冒牌的知名軟體安裝程式,例如: 例如:TeamViewer (遠端遙控支援軟體)、VueScan Pro (掃描器驅動程式)、Movavi Video Editor (全功能視訊編輯軟體)、Autopano Pro for macOS (自動化照片拼接軟體),會在受害裝置上安裝各種木馬、間諜軟體、挖礦等惡意程式。

這些惡意程式會下載挖礦模組,蒐集瀏覽器所儲存資訊、 蒐集 Instagram 與 Facebook 資訊。 植入 Google Chrome 擴充功能來進一步竊取 Facebook/信用卡/支付登入憑證…等等。


企業也不能掉以輕心因為疫情期間許多使用者被迫在家上班,有更多連網裝置將成為資安的脆弱環節,惡意程式可能迅速從個人裝置擴散至同一網路上的公司電腦。 

談到網路資安,眾所周知的一件事就是,使用者通常是 最脆弱的環節。意思是,他們經常成為駭客入侵的破口,同時也是社交工程 social engineering )攻擊的目標。企業同樣也會因這些脆弱環節而受害,員工有時對網路威脅毫無警覺,或是不熟悉網路資安的良好習慣,而駭客卻對這類資安弱點瞭若指掌。 

駭客經常使用的一種方式,就是利用暗藏惡意程式的盜版軟體或冒牌安裝程式來誘騙使用者下載。最近,我們就發現一些這類冒牌安裝程式,它們會在受害裝置上植入惡意程式。這種冒牌安裝程式並非什麼新鮮的駭客伎倆,事實上,這是一種歷史悠久且相當普遍的誘餌,其目的是要誘騙使用者開啟惡意文件或安裝可能有害的應用程式。使用者經常是在網路上搜尋付費軟體的免費版或破解版時受騙上當。 

拆解冒牌安裝程式


我們發現使用者會去尋找一些提供「有限免費版」與「完整付費版」兩種版本的正版軟體的破解版,例如:TeamViewer (遠端遙控支援軟體)、VueScan Pro (掃描器驅動程式)、Movavi Video Editor (全功能視訊編輯軟體)、Autopano Pro for macOS (自動化照片拼接軟體)。 

在我們研究的其中一個案例中,使用者試圖下載一個盜版的 TeamViewer (其實該軟體之前就曾被 木馬間諜程式用來當成偽裝)。使用者下載了一個假冒成該軟體安裝程式的惡意檔案。

 ◼延伸閱讀: 盜版 TeamViewer 內藏木馬間諜軟體,蒐集使用者電腦相關資料

Figure 1. Malicious files downloaded by user
圖 1:使用者所下載的惡意檔案。

在下載並執行該檔案之後,其中一個子處理程序會產生出其他檔案以及「setup.exe/setup-installv1.3.exe」,此檔案是從「320yea_Teamviewer_15206.zip 」利用  WinRAR.exe 解壓縮出來,這個檔案似乎是絕大部分惡意檔案的源頭 (參閱下圖)。

Figure 2. Unpacking of setup-installv1.3.exe via WinRar.exe
圖 2:利用 WinRar.exe 將 setup-installv1.3.exe 解壓縮。

接著,惡意程式利用「命令提示字元」在裝置上植入「 aae15d524bc2.exe 」。接著再產生「C:\Users\{username}\Documents\etiKyTN_F_nmvAb2DF0BYeIk.exe」,這個檔案接著啟動「BITS admin」下載工作。BITS admin 是一個指令列工具,用來建立下載、上傳工作,並監控工作的進度。此工具可讓使用者從網際網路下載任意檔案,這正是駭客所需的功能。 

Figure 3. BITS admin execution detection
圖 3:偵測到 BITS admin 執行。

此外,我們也發現駭客會蒐集瀏覽器所儲存的一些登入憑證。他們會複製「 C:\Users\{username}\AppData\Local\Microsoft\Edge\User Data\Default\Login」底下儲存的資料。瀏覽器中所儲存的登入憑證,通常都是重要的個人資料,有可能被駭客用來登入使用者的個人帳號、公司帳號或金融帳號。駭客甚至會蒐集這些資訊並拿到地下市場販售。 

為了常駐系統當中,接著惡意程式會將某個執行檔加入系統登錄中的開機自動啟動機碼 (Run) 之下,並建立一個排程工作:

  • 建立的排程工作:C:\Windows\System32\schtasks.exe /create /f/sc onlogon /rl highest /tn”services64″/tr ‘”C:\Users\{username}\AppData\Roaming\services64.exe”‘
  • 加入系統登錄中的開機自動啟動機碼:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prun:C:\WINDOWS\PublicGaming\prun.exe

前面提到,這些案例基本上都是使用者上網搜尋免費軟體,並以為有人會好心將破解版或偷來的付費完整版軟體放到網路上供人下載。但正如我們所看到,駭客正是利用這些使用者的心態。 

圖 4 顯示使用者電腦的「下載」資料夾出現一個木馬化的 VueScan 檔案,並且已經被使用者執行。

Figure 4. Unpacking of 61193b_VueScan-Pro-974.zip which created a new process
圖 4:解壓縮 61193b_VueScan-Pro-974.zip 檔案並產生一個新的處理程序。

在  setup_x86_x64_install.exe 執行之後,它會建立並執行一個新的檔案:setup_installer.exe,後者會再產生多個檔案並且向多個網域發出查詢,這些絕大多數都是惡意網域 (參見圖 5)。

Figure 5. Dropped malicious files querying several domains
圖 5:被植入的惡意檔案向多個網域發出查詢。

此外,這個惡意檔案還出現一些後門程式的行為,我們可看到駭客正在監聽以下通訊埠:127.0.0.1:53711 與 127.0.0.1:53713。透過這樣的方式,駭客就能隨時掌控受感染的電腦,而且還可能在網路內部四處遊走,並入侵企業重要資產 (若受感染的是企業電腦)。 

其他的冒牌安裝程式也都有類似的行為,專門利用使用者想要下載盜版軟體或是破解/啟動工具或非法完整版的心態。像這類的感染案例,駭客通常會常駐在系統內隨時操控電腦。 

這項威脅散布的情況有多廣?


駭客經常使用冒牌惡意安裝程式與軟體將惡意程式植入受害者電腦。近期的案例較常見的是冒牌的虛擬加密貨幣挖礦程式以及 冒牌的 Covid-19 最新動態應用程式。在追蹤這波冒牌安裝程式的過程中,我們也偵測到一些全球發生的事件。我們一開始並未將這些事件歸類為目標式攻擊,主要是因為這是使用者自己主動去搜尋盜版或破解軟體。但儘管這些攻擊一開始並非屬於目標式攻擊,但駭客一旦進入使用者的電腦,就可能趁機再發動其他攻擊。除了植入惡意程式之外,駭客還可能趁機入侵企業的虛擬私人網路 (VPN)。他們甚至可將受害裝置的存取權限販賣給其他網路犯罪集團,例如勒索病毒集團。這裡要強調一點,駭客會利用每一種可取得的工具,就連合法應用程式在他們手中也都變成了武器。  

◼延伸閱讀: 8款假雲端手機挖礦App,不僅賺不到錢,還會偷扣款

Figure 6. Unique detections per region of the indicators of compromise (IOCs) listed in the following. The data is sourced from Trend Micro™ Smart Protection Network™ for the month of August.
圖 6:以下所列的入侵指標 (IoC) 在各地區的非重複偵測數量。資料來源:趨勢科技 Smart Protection Network™ 全球威脅情報網 8 月份資料。


當然,我們也知道到版軟體在許多地區都相當猖獗,我們可從圖 6 的資料推測這一點目前仍是資安的一大威脅。使用者必須更了解這些非法的安裝程式所帶來的威脅,進而更嚴格地篩選他們從網際網路下載到個人或公司電腦上安裝及執行的應用程式。 

新冠肺炎疫情肆虐全球,許多使用者被迫在家上班,在這樣的情況下,將有更多連網裝置將成為資安的脆弱環節,例如:物聯網(IoT ,Internet of Thing) 裝置、個人手機以及個人電腦。這會帶來一個問題:惡意程式可能迅速從個人裝置擴散至同一網路上的公司電腦。 

冒牌安裝程式的惡意功能 :挖礦、竊取社群網路帳號、盜刷信用卡…



趨勢科技分析了這些安裝程式當中所含的惡意檔案。其功能各有不同,從挖礦( coinmining )到竊取社群媒體登入憑證等等。下表列出這些惡意檔案的功能:

惡意檔案功能
Trojan.Win32.MULTDROPEX.A惡意檔案主要植入工具。 偽裝成合法軟體的破解工具/安裝程式。
Trojan.Win32.SOCELARS.D蒐集有關電腦的資訊。 蒐集瀏覽器所儲存資訊。 蒐集社群媒體資訊 (Instagram 與 Facebook)。 蒐集 Steam 應用程式的資訊。 植入 Google Chrome 擴充功能來進一步竊取 Facebook/信用卡/支付登入憑證。
  Trojan.Win32.DEALOADER.A惡意程式下載工具。

其網址已經無效,但根據研究顯示,它有可能是也是一個資訊竊取程式。
TrojanSpy.Win32.BROWALL.A蒐集瀏覽器所儲存資訊。

蒐集虛擬加密貨幣錢包資訊。
TrojanSpy.Win32.VIDAR.D蒐集瀏覽器所儲存資訊。 蒐集登入憑證。
Trojan.Win64.REDLINESTEALER.N讓遠端使用者執行命令。 蒐集有關電腦的資訊。 蒐集瀏覽器所儲存資訊。 蒐集 FTP 用戶端資訊。 蒐集 VPN 資訊。 蒐集虛擬加密貨幣錢包資訊。 蒐集其他應用程式的資訊 (Discord、Steam、Telegram)。
Coinminer.MSIL.MALXMR.TIAOODBL下載經由 Discord 散布的挖礦模組。

門羅幣 (XMR) 挖礦程式。 利用排程工作與開機自動執行系統登錄機碼來讓惡意程式常駐。

如何防範惡意程式威脅?


正如前面提到,冒牌安裝程式並非新的技倆,只不過依然是惡意程式普遍使用的一種散布手段。這類檔案之所以歷久不衰而且越來越多,原因很簡單:因為就是有效。使用者若下載並執行了這類安裝程式,會讓駭客常駐在他們的電腦,並提供一個讓駭客入侵企業網路的途徑。 

要對抗這類威脅,最重要的就是要教育使用者從非信任網站下載檔案的後果。除此之外,還可採取以下資安措施:

企業用戶:

  • 一套多層式的資安防護對於整個環境的保護相當重要。萬一某一層失靈,還有其他防護層可以阻擋威脅。
  • 應用程式控管也有助於防止可疑檔案執行。
  • 別讓不需要的使用者擁有系統管理權限,這也是一個不錯的防範措施。 

個人用戶:

  • 請採用不只防毒也防詐騙的趨勢科技PC-cillin  》即刻免費下載試用
  • 入侵指標資料

    檔案名稱SHA256趨勢科技命名
    setup-installv1.3.exe787939d2fc30c7b6ff6ddb7f4e7f981c2a2bad0788b2f4d858c3bb10186d42f6Trojan.Win32.MULTDROPEX.A
    setup_installer.exebdf727b2ac0b42a955c4744bf7768cbb9fa67167321e4fb5639ee5529ccbcfa4Trojan.Win32.MULTDROPEX.A
    setup_install.exe97f18d430b68ac9379ecd267492e58734b3c57ffd66615e27ff621ea2bce8e6bTrojan.Win32.MULTDROPEX.A
    5f9a813bc385231.exe9dcacda3913e30cafd92c909648b5bffde14b8e39e6adbfb15628006c0d4d3c2Trojan.Win32.SOCELARS.CDK
    sqlite.dll5c41a6b98890b743dd67caa3a186bf248b31eba525bec19896eb7e23666ed872TrojanSpy.Win32.SOCELARS.CDK
    b5203513d7.exea5f373f8bcfae3d9f4895c477206de63f66f08e66b413114cf2666bed798eb71Coinminer.MSIL.MALXMR.TIAOODBH
    5f9a813bc38523010.exe8bd8f7a32de3d979cae2f487ad2cc5a495afa1bfb1c740e337c47d1e2196e1f2Trojan.Win32.DEALOADER.A
    aae15d524bc2.exe1cdddf182f161ab789edfcc68a0706d0b8412a9ba67a3f918fe60fab270eabffTrojanSpy.Win32.BROWALL.A
    bf2e8642ac5.exee3c9119e809a1240caaaf4b6d5420352f037cc2585cb321cb746f05ed0ec0e43TrojanSpy.Win32.SOCELARS.D
    745d0d3ff9cc2c3.exeb151ffd0f57b21600a05bb28c5d1f047f423bba9750985ab6c3ffba7a33fa0ffTrojanSpy.Win32.VIDAR.D
    438dc1669.exee254914f5f7feb6bf10041e2c705d469bc2b292d709dc944381db5911beb1d9fTrojan.Win64.REDLINESTEALER.N
    1cr.exe949eec48613bd1ce5dd05631602e1e1571fa9d6b0034ab1bffe313e923aff29cTrojanSpy.MSIL.REDLINESTEALER.N
    a6168f1f756.exec5483b2acbb352dc5c9a811d9616c4519f0e07c13905552be5ec869613ada775Coinminer.MSIL.MALXMR.TIAOODBL
    f65dc44f3b4.exedc5bbf1ea15c5235185184007d3e6183c7aaeb51e6684fbd106489af3255a378Mal_HPGen-50
    a070c3838.exe9e1a149370efe9814bf2cbd87acfcfa410d1769efd86a9722da4373d6716d22eTROJ_GEN.R053C0PHC21

    惡意網址:

    • hxxp://fsstoragecloudservice[.]com/data/data[.]7z

    • hxxp://3[.]128[.]66[.]194/
    • 45[.]14[.]49[.]68
    • plugnetx[.]com
    • znegs[.]xyz
    • iryarahara[.]xyz
    • swiftlaunchx[.]com
    • bluewavecdn[.]com
    • sproutfrost[.]com
    • hxxp://37[.]0[.]11[.]8/
    • hxxp://52[.]51[.]116[.]220/
    • 195[.]181[.]169[.]68
    • 88[.]99[.]66[.]31

    原文出處:Fake Installers Drop Malware and Open Doors for Opportunistic Attackers 作者:Ryan Maglaque、Joelson Soares 與 Gilbert Sison


    訂閱資安趨勢電子報,每日掌握資安趨勢

    PC-cillin 完整防詐攻略:保護資料/偵測威脅/防範侵入,識破各種詐騙手法,全面防護更安心。 不只防毒,更防詐騙! 不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
    FBIGYoutubeLINE官網資安新聞周報

    訂閱資安趨勢電子報,每日掌握資安趨勢

    加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上

    好友人數
    含購買
    PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
    FBIGYoutubeLINE官網