您多久将重要数据存储在文件中?很常见吧?这些数据可能是URL,主题,个人数据(如联系人,电子邮件ID,不同门户的用户名),有时也包括密码(尽管始终建议不要这样做)。我们非常随意地复制这些数据并将其粘贴到相应的应用程序中。过去,我们已经看到一些使用此剪贴板数据的间谍软件。按下Ctrl + C后,此数据将存储在剪贴板上,恶意软件仅从剪贴板收集数据并将其发送给攻击者。但是,如果在使用过程中更改了该数据怎么办?如果此数据非常敏感,例如您的银行详细信息,财务信息或加密货币钱包体彩3d,则可能导致巨大的损失。
过去几年来,加密货币一直是恶意软件作者的关注对象,并且他们肯定会从中获利,因为他们不会失去对加密货币的关注。任何加密货币帐户(钱包)均由某个唯一的钱包体彩3d表示。这些体彩3d是数字和长度较长的字母的组合,因此很难记住。对于所有加密交易,都使用这些体彩3d。因此,通常我们将这些体彩3d存储在一些文本文件中,以便在需要时使用。恶意软件作者正利用这种粘贴粘贴的习惯来从中牟利。
我们分析了一种新的数字资金盗窃方式,即“ Trojan.CBHAgent”。该木马监视Windows剪贴板中是否有要复制到剪贴板上的加密货币体彩3d。一旦检测到任何比特币体彩3d,它将被文件中维护的列表中的比特币体彩3d之一替换。除非再次手动确认,否则用户将不容易识别出不同的体彩3d。
在研究特洛伊木马程序之前,我们需要知道剪贴板是什么。剪贴板是共享内存区域,您可以将数据复制到其中或从中复制数据。所有应用程序都可以访问此剪贴板,因此可以在应用程序之间轻松传输数据。 Windows在剪切,复制或粘贴数据时使用剪贴板。剪贴板具有一组使应用程序能够传输或交换数据的功能。 Windows提供了用于管理剪贴板的API。
GetClipboardData用于获取剪贴板上的当前(已复制)数据,以及
SetClipboardData用于在剪贴板上保存数据(即通常在按Ctrl + C时)。
分析:
木马“ Trojan.CBHAgent”正在使用这些Windows API来操作剪贴板数据。
它是受害者系统上已删除的DLL,它将使用DLL主机rundll32.exe(具有以下命令行)运行。
$>C:\ WINDOWS \ system32 \ rundll32.exe“C:\ Documents and Settings \ Administrator \ Desktop \ Sample \ CBHAgent.dll”,includes_func_runnded
“ includes_func_runnded”是导出的功能,用于执行剪贴板监控。另外,为了防止对其进行分析,作者检查了它是否正在虚拟机中运行。 Trojan还导出了“ detection_VMx”功能,以将其用作反VM检查。
查看其文件结构,发现该木马样本与PECompact打包程序一起打包,使分析更加困难。要粘贴的比特币体彩3d列表以纯文本形式出现在文件资源中。文件中列出了超过230万个比特币体彩3d。所有这些体彩3d都经过排序,以便在搜索目标比特币体彩3d时会有所帮助。
这导致文件大小为80 MB。
在执行时,它将开始连续监视剪贴板数据,并检查是否有类似的比特币体彩3d。为了验证,它使用正则表达式。匹配后,它将替换为列表中存在的体彩3d。该木马不会影响比特币体彩3d以外的任何数据。
该恶意软件在后台运行,因此用户无法轻松识别该系统已感染Trojan.CBHAgent。我们强烈建议您在进行任何比特币交易时仔细检查比特币体彩3d。该木马还通过在%TEMP%目录中创建一个副本并在注册表中添加其运行条目来确保其在系统中的持久性。它将创建一个名为“ MODULE_DXDIAG_1”的互斥量。
快速修复将木马检测为“ Trojan.CBHAgent.S3076164”。
I指示符 妥协:
48b66dd02a336eb049a784b3fd1beb5312fb8c078b3729d49e92e3e986c98e91
结论:
该恶意软件将吸引其他恶意软件作者利用剪贴板。在最近的将来,可以观察到类似的攻击。因此,我们应始终注意日常生活中最常见的活动。恶意软件作者正在玩弄人类的思维,并制作了更复杂的有效载荷版本。
应采取的其他预防措施:
–始终将安全软件与最新更新一起使用。
–只要有可能,都应进行手动验证,以防止造成重大损失。
–仅根据需要安装第三方软件。不需要的应用程序可能是恶意软件的来源。
–操作系统补丁会按时应用,并且已安装的软件是最新的。
–避免单击链接并从未知来源下载电子邮件中的附件。
主题专家
Pandurang Terkar ||快速修复安全实验室
没意见