不要轻信YouTube上关于盗版软件的视频 否则你可能会被黑

上个月，FortiGuard Labs 发现了一项针对寻找盗版软件的 YouTube 观众进行的正在进行的威胁活动。这些视频是由拥有大量订阅量的验证 YouTube 频道上传的，广告下载“破解”(即盗版) 软件。受害者被引导执行恶意二进制文件，并在他们的系统中安装多个恶意软件，旨在收集凭证、进行加密货币挖矿和从钱包中窃取加密货币资金。

· 受影响的平台：Windows；

· 受影响的用户：任何组织；

· 影响：远程攻击者窃取凭据、敏感信息和加密货币，并在系统上执行加密劫持；

· 严重级别：严重。

号称可以教你破解软件的YouTube视频

上传的视频使用“Adobe Acrobat Pro dc Crack 2023免费完整版/Adobe Acrobat免费下载”等标题引诱用户搜索盗版软件。一些视频还显示了使用盗版软件的教程，尽管在大多数情况下，它们只是显示与软件产品无关的静态图像。

上传视频截图

为了提高可信度，恶意软件活动利用了拥有大量关注度的经过验证的YouTube频道。其中一个YouTube频道拥有近300万订户。由于这些YouTube频道过去曾上传过合法视频，我们怀疑这些账户可能已被攻击。

上传破解软件视频的YouTube账号

一些视频也发布了类似的评论（可能是自动生成的），这表明有可能进行自动视频上传和评论。

自动生成的注释

潜在的受害者被诱导从文件共享服务下载受密码保护的文件。恶意URL和密码（通常是四个数字）位于视频的描述和评论部分。

来自上传者的带有恶意链接的评论

视频似乎是批量上传的，例如，其中一个账户在8小时内上传了50多个视频，提供了不同的盗版软件，这些软件都指向同一个URL。视频会在一段时间后被删除，之后攻击者会将视频上传到其他账户。

攻击链

攻击链

如上图所示，通过YouTube视频描述中提供的URL下载RAR文件2O23-F1LES-S0ft.RAR后，受害者必须使用与URL一起列出的密码“1212”解压缩文件，并运行其中包含的Launcher_S0ft-2O23.exe。该文件还包含多个未使用的文件和目录，可能是为了伪装成合法的安装程序。下面我们将详细分析每个组件。

launcher_soft - 2o23 .exe ——视频窃取程序

launcher_soft - 2o23 .exe是Vidar信息处理程序。它附加了超过1GB的未使用字节，这是一种通常用于绕过防病毒和沙箱的技术，由于CPU和RAM资源有限，这些技术不会扫描超过特定大小的文件。该文件的SHA256哈希值为820bbfc1f5023af60a7048a0c25e3db51b481afd6986bf1b5ff806cf604c1f4c(原始)和e256b5ef66c4e56dac32934594b41e7e8cf432f834046e1c24c0827b120e6ddb(删除多余字节后)。

一旦执行，它发送一个HTTP GET请求到它的命令和控制(C2)服务器79.137.206[.]228签入和检索窃取配置。注意，在这个GET请求中没有User-Agent和其他典型的HTTP标头。

Vidar注册请求

分号分隔的配置可以解释如下：

第一个以逗号分隔的块包含单个数字标志，用1(启用)或0(禁用)表示，用于切换特定的窃取功能。

基于这个配置，此窃取程序将收集本地存储的密码（例如FTP、SSH）、浏览器cookie和历史记录、Telegram数据和屏幕截图。

加密货币钱包收集未启用。

一个32个字符的十六进制字符串（在上图中经过编辑）是C2服务器生成的令牌，用于后续的数据泄露请求。

其余配置值用于从受感染的计算机收集文件。在这种情况下，窃取程序递归地从Windows桌面目录中收集扩展名为.txt的文件，扩展名小于50kb。

一旦敏感信息被收集并压缩到ZIP文件中，恶意软件就会通过HTTPPOST请求将这些数据泄露到C2中。

Vidar数据泄露请求

POST请求包含“id”，表示窃取程序，对于每个受感染的用户都是一样的，以及之前由C2服务器在签入请求中提供的“令牌”。“文件”包含一个Base64编码的ZIP文件，其中包含恶意软件收集的数据。ZIP文件的内容如下。

包含已泄露数据的ZIP文件的内容

Information.txt包括有关操作系统、硬件、运行进程和受感染系统上安装的软件的信息。

information.txt

然后，C2服务器以下载和执行恶意软件的次要有效负载列表进行响应。此示例下载用户jesus061031r拥有的GitHub存储库中作为发布版本存储的文件。具有不同文件名的类似恶意文件分散在同一用户拥有的其他存储库中。

次要有效负载列表

这些文件用包含20个数字字符的随机文件名写入%ProgramData%，并按顺序执行。一旦有效负载被执行，恶意软件就会退出并自行删除。对有效负载的分析将在以下章节中讨论。

根据C2协议、information.txt中的系统数据格式以及泄露的ZIP文件中的文件组织，该示例被识别为Vidar窃取程序。

虽然Vidar与追踪同一活动的其他研究人员观察到的RecordBreaker是一个明显不同的恶意软件家族，但两者都是信息窃取程序，这表明攻击者的主要兴趣是窃取凭据以继续其恶意目标。

GUI_MODERNISTA.exe——破解下载程序

GUI_MODERNISTA.exe（SHA256:62d4caf908b3645281d5f30f5b5dc3a4beb410015196f7eaf66ca743f415668）是一个相对较小（48KB）的.NET应用程序，它将用户重定向到文件共享网站上的硬编码URL链接，该链接包含YouTube视频中宣传的据称已破解的软件版本。这是唯一显示给受害者的组件，因为攻击链的其他组件在后台秘密运行。

研究人员还发现了该应用程序的Python版本（SHA256:ba9503b78bc62d4e5e22e4f8e04b28bb6179e146e1c0a6ba14dd06608facb481）。两个版本的用户界面如下图所示。

破解下载程序

Vadwax.exe - Laplas Clipper

Vadwax.exe（SHA256:f91d9de259052595946250a1440a2457dbda9ee8aec8add24419ff939f13e003）的大小为1.17 GB，但主要由重复字节0x30的叠加组成，对应于ASCII中的“0”。

Vadwax.exe覆盖

删除未使用的覆盖后，我们得到了一个更小的5.87MB文件（SHA256:2fcb61da34b259b9b130c0c75525697931b9dff8e7f9b2198f9db21b5193eeba）。与之前的示例一样，这种人为的覆盖实则是为了逃避检测。

这个示例是Laplas Clipper，它试图用用户剪贴板中的钱包地址来窃取加密货币。它根据从C2服务器检索到的正则表达式不断检查Windows剪贴板的内容。匹配后，剪贴板的内容被发送到C2服务器，C2服务器以攻击者的钱包地址作为响应，用于替换适当的加密货币。这使得Laplas Clipper能够将原始收款人的钱包地址与攻击者的钱包地址进行切换，并将资金转移给攻击者。该特定示例由商业VMProtect封装器保护，大量使用反沙箱和反分析检查。接下来，我们将重点关注这个示例的持久性和C2通信。

持久性

此示例检查它是否从%Appdata%目录运行。如果没有，它会将自己复制到%Appdata%\telemetry\svcservice.exe，并将包含随机化字节的覆盖附加到文件中。然后，它通过将名为telemetry的注册表值添加到以下注册表项来保持持久性：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

C2通信

Laplas Clipper首先通过HTTP GET请求使用当前计算机名称和Windows用户名（guid参数）以及64个字符的十六进制字符串（密钥参数）向C2服务器注册hxxp://85[.]192[.]40[.]252/bot/online?guid=

在成功注册到C2服务器后，它向hxxp://85[.]192[.]40[.]252/bot/regex请求正则表达式。

Laplas Clipper C2的Regexes

正则表达式在剪贴板中查找以下加密货币的地址（按字母顺序排列）：

· Binance Coin (BNB)

· Bitcoin (BTC)

· Bitcoin Cash (BCH)

· Cardano (ADA)

· Cosmos (ATOM)

· Dash (DASH)

· Dogecoin (DOGE)

· Ethereum (ETH)

· Litecoin (LTC)

· Monero (XMR)

· Ripple (XRP)

· Ronin (RON)

· Tezos (XTZ)

· Tron (TRX)

· Zcash (ZEC)

顺便说一句，laplas[.]app中的Laplas Clipper C2面板解析为85[.]192[.]40[.]252。

Laplas Clipper C2面板

Vaxa.exe——挖矿安装程序

Vaxa.exe(SHA256: 44810cead810cd546a8983e464157a4eb98ebbd518c4f4249e6b99e7f911090f) 是一个用于嵌入式挖矿下载负载的内存加载程序。

它是一个32位的Windows控制台应用程序，伪装成一个用于执行和显示一些简单数学运算结果的程序。

伪装成数学程序的内存加载程序

然后，它继续解密来自其主体的shellcode和有效负载。shellcode提供了应用程序的路径，以便在执行重定向到它之前将有效负载注入其中。

注入器shellcode的设置和执行

shellcode使用进程process hollowing技术在Regsvcs.exe中注入并执行名为Task32Main的.NET程序集（SHA256:5630c8f0dcd2393daf8477e6e419b0d0faf6780b6f1e00ad7a09fd37ddcdd3）。

Task32Main——挖矿下载程序

Task32Main是一个用于Monero加密挖掘组件的.NET下载和安装程序。它提供支持功能，例如维护持久性和逃避检测。更重要的是，它负责安装看门狗组件，以确保挖矿软件在受害者系统中保持运行。

为了避免被检测到，它执行编码的PowerShell命令，将以下目录添加到Windows Defender的扫描排除列表中：

· %SystemDrive%

· %UserProfile%

· %ProgramData%

然后从下载配置文件hxxps://pastebin[.]com/raw/5p5KkdBw下载其他恶意软件有效负载及其执行参数。

挖矿组件的Pastebin配置

此配置的修改副本将作为log.uce写入以下目录：

· "C:\ProgramData\HostData"；

· "C:\Users\TRT-DESKTOP\AppData\Local\Temp"；

· "C:\"；

这将被用作下一节中讨论的看门狗组件的配置文件。

上述配置指示恶意软件从以下url下载其他与加密相关的有效负载：

· hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/WatchNew.exe；· hxxps://github[.]com/dwadaxwad/dvsv/releases/download/sdv/xmrig.exe；

该恶意软件创建目录%ProgramData%\Dllhost，并将下载的文件分别保存为Dllhost.exe（挖矿看门狗）和winlogson.exe（Monero XMRig挖矿）。然后，恶意软件修改目录的权限以拒绝当前用户的访问。

%ProgramData%\Dllhost的目录权限

为了在受害者系统中持久存在，它每小时添加几个计划任务来执行看门狗dllhost.exe。它通过执行以下命令来执行此操作：

计划任务名称模仿合法的Windows相关软件，以阻止偶然检测，计划任务的名称如下：

· SecurityHealthSystray；

· WindowsDefender；

· WmiPrvSE；

· AntiMalwareServiceExecutable；

· Dllhost；

· MicrosoftEdgeUpd；

· OneDriveService；

· NvStray；

· ActivationRule；

它还通过执行以下命令来更改系统的电源设置，以防止其休眠，以确保其Monero cryptominer组件（稍后执行）在计算机通电时始终运行：

主机文件也被修改为将安全产品相关的域解析为IP 0.0.0.0，以禁用安全产品的通信，例如下载更新。

修改后的主机文件

最后，它执行看门狗组件%ProgramData%\dllhost.exe，该组件执行实际的加密挖矿。

Dllhost.exe——挖矿看门狗

Dllhost.exe（SHA256:d2e371810e8c7b1e039a02a578b1af0c6250665e85206b97a1ecb71aa5568443）是一个名为Task32Watch的.NET程序集。它是一个看门狗应用程序，用于执行挖矿组件，监控其进程，并确保其保持运行并使用最新的挖掘参数。

它读取自己的配置文件log.uce，之前由安装程序组件Task32Main释放。它的内容与Task32Main组件下载的配置文件相同，但不包括前三行。此外，它还包括最后一行下载配置文件的Pastebin URL。

看门狗配置

此Pastebin URL允许看门狗检索最新的XMRig挖掘参数，例如，挖掘池服务器、钱包地址、工作人员名称“snnssnewte”等。

然后，它使用这些挖掘参数执行位于同一目录中的挖矿winlogson.exe。

作为一个看门狗，它通过不断枚举系统中当前运行的进程，然后在终止时重新运行挖矿，来确保挖矿进程始终在运行。

此外，为了减少被用户发现和终止的机会，它会阻止与系统诊断和分析工具相关的进程，如任务管理器和进程黑客。最后，它还会禁止与游戏相关的进程，这些进程通常是资源密集型的，并减少了可用于挖掘的CPU资源。

要终止的进程列表

总结

如上所述，下载盗版软件非常不安全，因为攻击者会利用这些其窃取用户凭据、敏感数据甚至加密货币。除此之外，受感染的计算机还可能被加密劫持，称为挖矿机。我们还观察到，这些攻击者的反应也非常快，每当GitHub删除恶意存储库后，攻击者就会迅速上传类似恶意软件的新副本。

翻译自：https://www.fortinet.com/blog/threat-research/youtube-pirated-software-videos-deliver-triple-threat-vidar-stealer-laplas-clipper-xmrig-miner