寻找YouTube盗版软件视频易被黑

上个月，FortiGuard Labs 发现了一项针对寻找盗版软件的 YouTube 观众进行的正在进行的威胁活动。这些视频是由拥有大量订阅量的验证 YouTube 频道上传的，广告下载 “破解”(即盗版) 软件。受害者被引导执行恶意二进制文件，并在他们的系统中安装多个恶意软件，旨在收集凭证、进行加密货币挖矿和从钱包中窃取加密货币资金。

・ 受影响的平台：Windows；

・ 受影响的用户：任何组织；

・ 影响：远程攻击者窃取凭据、敏感信息和加密货币，并在系统上执行加密劫持；

・ 严重级别：严重。

号称可以教你破解软件的 YouTube 视频

上传的视频使用 “Adobe Acrobat Pro dc Crack 2023 免费完整版 / Adobe Acrobat 免费下载” 等标题引诱用户搜索盗版软件。一些视频还显示了使用盗版软件的教程，尽管在大多数情况下，它们只是显示与软件产品无关的静态图像。

上传视频截图

为了提高可信度，恶意软件活动利用了拥有大量关注度的经过验证的 YouTube 频道。其中一个 YouTube 频道拥有近 300 万订户。由于这些 YouTube 频道过去曾上传过合法视频，我们怀疑这些账户可能已被攻击。

上传破解软件视频的 YouTube 账号

一些视频也发布了类似的评论（可能是自动生成的），这表明有可能进行自动视频上传和评论。

自动生成的注释

潜在的受害者被诱导从文件共享服务下载受密码保护的文件。恶意 URL 和密码（通常是四个数字）位于视频的描述和评论部分。

来自上传者的带有恶意链接的评论

视频似乎是批量上传的，例如，其中一个账户在 8 小时内上传了 50 多个视频，提供了不同的盗版软件，这些软件都指向同一个 URL。视频会在一段时间后被删除，之后攻击者会将视频上传到其他账户。

攻击链

攻击链

如上图所示，通过 YouTube 视频描述中提供的 URL 下载 RAR 文件 2O23-F1LES-S0ft.RAR 后，受害者必须使用与 URL 一起列出的密码 “1212” 解压缩文件，并运行其中包含的 Launcher_S0ft-2O23.exe。该文件还包含多个未使用的文件和目录，可能是为了伪装成合法的安装程序。下面我们将详细分析每个组件。

launcher_soft - 2o23 .exe —— 视频窃取程序

launcher_soft - 2o23 .exe 是 Vidar 信息处理程序。它附加了超过 1GB 的未使用字节，这是一种通常用于绕过防病毒和沙箱的技术，由于 CPU 和 RAM 资源有限，这些技术不会扫描超过特定大小的文件。该文件的 SHA256 哈希值为 820bbfc1f5023af60a7048a0c25e3db51b481afd6986bf1b5ff806cf604c1f4c (原始) 和 e256b5ef66c4e56dac32934594b41e7e8cf432f834046e1c24c0827b120e6ddb (删除多余字节后)。

一旦执行，它发送一个 HTTP GET 请求到它的命令和控制 (C2) 服务器 79.137.206 [.] 228 签入和检索窃取配置。注意，在这个 GET 请求中没有 User-Agent 和其他典型的 HTTP 标头。

Vidar 注册请求

分号分隔的配置可以解释如下：

第一个以逗号分隔的块包含单个数字标志，用 1 (启用) 或 0 (禁用) 表示，用于切换特定的窃取功能。

基于这个配置，此窃取程序将收集本地存储的密码（例如 FTP、SSH）、浏览器 cookie 和历史记录、Telegram 数据和屏幕截图。

加密货币钱包收集未启用。

一个 32 个字符的十六进制字符串（在上图中经过编辑）是 C2 服务器生成的令牌，用于后续的数据泄露请求。

其余配置值用于从受感染的计算机收集文件。在这种情况下，窃取程序递归地从 Windows 桌面目录中收集扩展名为.txt 的文件，扩展名小于 50kb。

一旦敏感信息被收集并压缩到 ZIP 文件中，恶意软件就会通过 HTTPPOST 请求将这些数据泄露到 C2 中。

Vidar 数据泄露请求

POST 请求包含 “id”，表示窃取程序，对于每个受感染的用户都是一样的，以及之前由 C2 服务器在签入请求中提供的 “令牌”。“文件” 包含一个 Base64 编码的 ZIP 文件，其中包含恶意软件收集的数据。ZIP 文件的内容如下。

包含已泄露数据的 ZIP 文件的内容

Information.txt 包括有关操作系统、硬件、运行进程和受感染系统上安装的软件的信息。

information.txt

然后，C2 服务器以下载和执行恶意软件的次要有效负载列表进行响应。此示例下载用户 jesus061031r 拥有的 GitHub 存储库中作为发布版本存储的文件。具有不同文件名的类似恶意文件分散在同一用户拥有的其他存储库中。

次要有效负载列表

这些文件用包含 20 个数字字符的随机文件名写入 % ProgramData%，并按顺序执行。一旦有效负载被执行，恶意软件就会退出并自行删除。对有效负载的分析将在以下章节中讨论。

根据 C2 协议、information.txt 中的系统数据格式以及泄露的 ZIP 文件中的文件组织，该示例被识别为 Vidar 窃取程序。

虽然 Vidar 与追踪同一活动的其他研究人员观察到的 RecordBreaker 是一个明显不同的恶意软件家族，但两者都是信息窃取程序，这表明攻击者的主要兴趣是窃取凭据以继续其恶意目标。

GUI_MODERNISTA.exe—— 破解下载程序

GUI_MODERNISTA.exe（SHA256:62d4caf908b3645281d5f30f5b5dc3a4beb410015196f7eaf66ca743f415668）是一个相对较小（48KB）的.NET 应用程序，它将用户重定向到文件共享网站上的硬编码 URL 链接，该链接包含 YouTube 视频中宣传的据称已破解的软件版本。这是唯一显示给受害者的组件，因为攻击链的其他组件在后台秘密运行。

研究人员还发现了该应用程序的 Python 版本（SHA256:ba9503b78bc62d4e5e22e4f8e04b28bb6179e146e1c0a6ba14dd06608facb481）。两个版本的用户界面如下图所示。

破解下载程序

Vadwax.exe - Laplas Clipper

Vadwax.exe（SHA256:f91d9de259052595946250a1440a2457dbda9ee8aec8add24419ff939f13e003）的大小为 1.17 GB，但主要由重复字节 0x30 的叠加组成，对应于 ASCII 中的 “0”。

Vadwax.exe 覆盖

删除未使用的覆盖后，我们得到了一个更小的 5.87MB 文件（SHA256:2fcb61da34b259b9b130c0c75525697931b9dff8e7f9b2198f9db21b5193eeba）。与之前的示例一样，这种人为的覆盖实则是为了逃避检测。

这个示例是 Laplas Clipper，它试图用用户剪贴板中的钱包地址来窃取加密货币。它根据从 C2 服务器检索到的正则表达式不断检查 Windows 剪贴板的内容。匹配后，剪贴板的内容被发送到 C2 服务器，C2 服务器以攻击者的钱包地址作为响应，用于替换适当的加密货币。这使得 Laplas Clipper 能够将原始收款人的钱包地址与攻击者的钱包地址进行切换，并将资金转移给攻击者。该特定示例由商业 VMProtect 封装器保护，大量使用反沙箱和反分析检查。接下来，我们将重点关注这个示例的持久性和 C2 通信。

持久性

此示例检查它是否从 % Appdata% 目录运行。如果没有，它会将自己复制到 % Appdata%\telemetry\svcservice.exe，并将包含随机化字节的覆盖附加到文件中。然后，它通过将名为 telemetry 的注册表值添加到以下注册表项来保持持久性：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

C2 通信

Laplas Clipper 首先通过 HTTP GET 请求使用当前计算机名称和 Windows 用户名（guid 参数）以及 64 个字符的十六进制字符串（密钥参数）向 C2 服务器注册 hxxp://85 [.] 192 [.] 40 [.] 252/bot/online?guid=

在成功注册到 C2 服务器后，它向 hxxp://85 [.] 192 [.] 40 [.] 252/bot/regex 请求正则表达式。

 Laplas Clipper C2 的 Regexes

正则表达式在剪贴板中查找以下加密货币的地址（按字母顺序排列）：

· Binance Coin (BNB)

· Bitcoin (BTC)

· Bitcoin Cash (BCH)

· Cardano (ADA)

· Cosmos (ATOM)

· Dash (DASH)

· Dogecoin (DOGE)

· Ethereum (ETH)

· Litecoin (LTC)

· Monero (XMR)

· Ripple (XRP)

· Ronin (RON)

· Tezos (XTZ)

· Tron (TRX)

· Zcash (ZEC)

顺便说一句，laplas [.] app 中的 Laplas Clipper C2 面板解析为 85 [.] 192 [.] 40 [.] 252。

Laplas Clipper C2 面板

Vaxa.exe—— 挖矿安装程序

Vaxa.exe (SHA256: 44810cead810cd546a8983e464157a4eb98ebbd518c4f4249e6b99e7f911090f) 是一个用于嵌入式挖矿下载负载的内存加载程序。

它是一个 32 位的 Windows 控制台应用程序，伪装成一个用于执行和显示一些简单数学运算结果的程序。

伪装成数学程序的内存加载程序

然后，它继续解密来自其主体的 shellcode 和有效负载。shellcode 提供了应用程序的路径，以便在执行重定向到它之前将有效负载注入其中。

注入器 shellcode 的设置和执行

shellcode 使用进程 process hollowing 技术在 Regsvcs.exe 中注入并执行名为 Task32Main 的.NET 程序集（SHA256:5630c8f0dcd2393daf8477e6e419b0d0faf6780b6f1e00ad7a09fd37ddcdd3）。

Task32Main—— 挖矿下载程序

Task32Main 是一个用于 Monero 加密挖掘组件的.NET 下载和安装程序。它提供支持功能，例如维护持久性和逃避检测。更重要的是，它负责安装看门狗组件，以确保挖矿软件在受害者系统中保持运行。

为了避免被检测到，它执行编码的 PowerShell 命令，将以下目录添加到 Windows Defender 的扫描排除列表中：

·  %SystemDrive%

·  %UserProfile%

·  %ProgramData%

然后从下载配置文件 hxxps://pastebin [.] com/raw/5p5KkdBw 下载其他恶意软件有效负载及其执行参数。

挖矿组件的 Pastebin 配置

此配置的修改副本将作为 log.uce 写入以下目录：

·  "C:\ProgramData\HostData"；

·  "C:\Users\TRT-DESKTOP\AppData\Local\Temp"；

·  "C:\"；

这将被用作下一节中讨论的看门狗组件的配置文件。

上述配置指示恶意软件从以下 url 下载其他与加密相关的有效负载：

· hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/WatchNew.exe；· hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/xmrig.exe；

该恶意软件创建目录 % ProgramData%\Dllhost，并将下载的文件分别保存为 Dllhost.exe（挖矿看门狗）和 winlogson.exe（Monero XMRig 挖矿）。然后，恶意软件修改目录的权限以拒绝当前用户的访问。

% ProgramData%\Dllhost 的目录权限

为了在受害者系统中持久存在，它每小时添加几个计划任务来执行看门狗 dllhost.exe。它通过执行以下命令来执行此操作：

计划任务名称模仿合法的 Windows 相关软件，以阻止偶然检测，计划任务的名称如下：

· SecurityHealthSystray；

· WindowsDefender；

· WmiPrvSE；

· AntiMalwareServiceExecutable；

· Dllhost；

· MicrosoftEdgeUpd；

· OneDriveService；

· NvStray；

· ActivationRule；

它还通过执行以下命令来更改系统的电源设置，以防止其休眠，以确保其 Monero cryptominer 组件（稍后执行）在计算机通电时始终运行：

主机文件也被修改为将安全产品相关的域解析为 IP 0.0.0.0，以禁用安全产品的通信，例如下载更新。

修改后的主机文件

最后，它执行看门狗组件 % ProgramData%\dllhost.exe，该组件执行实际的加密挖矿。

Dllhost.exe—— 挖矿看门狗

Dllhost.exe（SHA256:d2e371810e8c7b1e039a02a578b1af0c6250665e85206b97a1ecb71aa5568443）是一个名为 Task32Watch 的.NET 程序集。它是一个看门狗应用程序，用于执行挖矿组件，监控其进程，并确保其保持运行并使用最新的挖掘参数。

它读取自己的配置文件 log.uce，之前由安装程序组件 Task32Main 释放。它的内容与 Task32Main 组件下载的配置文件相同，但不包括前三行。此外，它还包括最后一行下载配置文件的 Pastebin URL。

看门狗配置

此 Pastebin URL 允许看门狗检索最新的 XMRig 挖掘参数，例如，挖掘池服务器、钱包地址、工作人员名称 “snnssnewte” 等。

然后，它使用这些挖掘参数执行位于同一目录中的挖矿 winlogson.exe。

作为一个看门狗，它通过不断枚举系统中当前运行的进程，然后在终止时重新运行挖矿，来确保挖矿进程始终在运行。

此外，为了减少被用户发现和终止的机会，它会阻止与系统诊断和分析工具相关的进程，如任务管理器和进程黑客。最后，它还会禁止与游戏相关的进程，这些进程通常是资源密集型的，并减少了可用于挖掘的 CPU 资源。

要终止的进程列表

总结

如上所述，下载盗版软件非常不安全，因为攻击者会利用这些其窃取用户凭据、敏感数据甚至加密货币。除此之外，受感染的计算机还可能被加密劫持，称为挖矿机。我们还观察到，这些攻击者的反应也非常快，每当 GitHub 删除恶意存储库后，攻击者就会迅速上传类似恶意软件的新副本。

————————————————

原文作者：关键基础设施安全应急响应中心

转自链接：https://www.wangan.com/p/11v76f221bad80ae