揭秘:西班牙制造的针对性攻击木马Machete

  简介

  前一段时间,卡巴斯基实验室的一位拉丁美洲的客户与我们联系,说他去了中国,他怀疑他的机器被感染了未知的而且无法被检测到的恶意软件(FreeBuf小编:又黑我中国……)。在协助客户的同时,我们发现在他的系统中发现了一个非常有趣的文件,该文件与中国毫无关系,并没有中文编程的痕迹。第一眼看上去,它伪装成一个Java相关的应用程序,但快速分析后,我们发现很明显这不仅仅只是一个简单的Java文件。这是有针对性的攻击,我们称之为“Machete”。

  什么是Machete?

  “Machete”在西班牙语中指“有针对性的攻击活动”。我们认为这次攻击始于2010年,并于2012年更新完善。而现在攻击仍然非常活跃。

  该恶意软件的功能:

  记录键盘敲击

  通过计算机麦克风获取音频

  屏幕截图

  获取地理位置数据

  通过网络摄像头拍照

  将文件复制到远程服务器

  将文件复制到一个特殊的USB设备中

  劫持剪贴板、获取剪贴板内容

  Machete的攻击目标

  大多数受害者都位于委内瑞拉,厄瓜多尔,哥伦比亚,秘鲁,俄罗斯,古巴,西班牙,等等。在某些情况下,诸如俄罗斯,目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物,其中包括情报部门,军队,驻外使馆和政府机构。

  Machete如何运行?

  该恶意软件是通过社会工程技术,包括通过鱼叉式邮件钓鱼和受感染的虚假博客传播的。我们没有发现软件利用了零日漏洞。无论是攻击者和受害者似乎都是讲西班牙语的。

  本次调查期间,我们还发现了许多钓鱼时所使用的文件。这些文件都是些ppt,一旦打开即开始在目标系统安装恶意软件。以下是PowerPoint附件的名字:

  Hermosa XXX.pps.rar

  Suntzu.rar

  El arte de la guerra.rar

  Hot brazilian XXX.rar

  这些文件实际上是Nullsoft的自解压文件,都是2008年编译的。这些可执行文件包含Python代码,还有必要的Python库,以及PowerPoint文件。结果就是这些文件非常的大,超过了3MB。

  以下是PPT文件的截图:

  这些恶意软件中包含了Python代码。这是非常奇怪的,除了方便编程,这对攻击者没有任何好处。由于这些软件是基于Windows库的,程序不能够跨平台。然而,我们发现,攻击者在程序编写中做好了针对Mac OS X和Unix的准备。除了Windows组件之外,我们还发现了一个手机(Android)的组件。

  无论是攻击者和受害者都讲西班牙语,因为我们在客户端的源代码和Python代码中一直看到的都是西班牙语。

  被感染的迹象

  以下代码片段,是在用来感染用户的网站的HTML代码中发现的:

  注:感谢来自Korelogic的Tyler Hudak指出,以上的HTML代码是拷贝自SET(The Social Engineering Toolkit)的。

  另外以下链接指向到病毒: hxxp://name.domain.org/nickname/set/Signed_Update.jar

  域名

  以下病毒所使用到的域名。任何与域名的连接都非常可疑。

  java.serveblog.net

  agaliarept.com

  frejabe.com

  grannegral.com

  plushbr.com

  xmailliwx.com

  blogwhereyou.com

  grannegral.com

  感染文件

  MD5                                    文件名

  61d33dc5b257a18eb6514e473c1495fe     AwgXuBV31pGV.eXe

  b5ada760476ba9a815ca56f12a11d557     EL ARTE DE LA GUERRA.exe

  d6c112d951cb48cab37e5d7ebed2420b     Hermosa XXX.rar

  df2889df7ac209e7b696733aa6b52af5     Hermosa XXX.pps.rar

  e486eddffd13bed33e68d6d8d4052270     Hermosa XXX.pps.rar

  e9b2499b92279669a09fef798af7f45b     Suntzu.rar

  f7e23b876fc887052ac8e2558f0d6c38     Hot Brazilian XXX.rar

  b26d1aec219ce45b2e80769368310471     Signed_Update.jar

  病毒的感染痕迹

  1、创建Java Update.lnk并指向appdata/Jre6/java.exe

  2、恶意软件安装在appdata/ MicroDes/

  3、创建进程Microsoft_up

  卡巴斯基实验室已将此病毒命名为Trojan-Spy.Python.Ragua。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:算不算漏洞?PayPal帐号锁定被绕过引发争议