钓鱼
捕获到一封鱼叉式钓鱼邮件,共享一下 奖励¥50
微步情报局 2019-10-10 14:30:25 655人浏览
情报提交人:
匿名用户
情报简介:

<1 详细说明(必填)

       收到一封有可执行程序附件的邮件,压缩包内为exe可执行文件。

 发件人: sales <administracion@vigar.es> 

 主题: 要求报价 

附件名为 公司信.r00 和 Qoutation清单.gz 

image.png

2 样本分析

    两个邮件附件均为exe后缀,且md5hash一致,仅文件名不同。下面仅列举一个。

filename: Qoutation清单.exe
MD5: 7b6987cce***aab28f041fd
SHA256: a03ffe96eccad2e41a5*****b10986b026f6ea1b5fd97fa

该程序运行,有如下行为:

<1 创建一个临时文件用来创建任务计划。  C:\Users\Administrator\AppData\Local\Temp\tmpB709.tmp,

schtasks.exe /Create /TN "Updates\RLuaghGA" /XML "%TEMP%\tmpB709.tmp

临时文件内容:

<?xml version="1.0" encoding="UTF-16"?> <Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> <RegistrationInfo> <Date>2014-10-25T14:27:44.8929027</Date> <Author>zhanglin-PC\Administrator</Author> </RegistrationInfo> <Triggers> <LogonTrigger> <Enabled>true</Enabled> <UserId>zhanglin-PC\Administrator</UserId> </LogonTrigger> <RegistrationTrigger> <Enabled>false</Enabled> </RegistrationTrigger> </Triggers> <Principals> <Principal id="Author"> <UserId>zhanglin-PC\Administrator</UserId> <LogonType>InteractiveToken</LogonType> <RunLevel>LeastPrivilege</RunLevel> </Principal> </Principals> <Settings> <MultipleInstancesPolicy>StopExisting</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> <AllowHardTerminate>false</AllowHardTerminate> <StartWhenAvailable>true</StartWhenAvailable> <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> <IdleSettings> <StopOnIdleEnd>true</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <AllowStartOnDemand>true</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>false</Hidden> <RunOnlyIfIdle>false</RunOnlyIfIdle> <WakeToRun>false</WakeToRun> <ExecutionTimeLimit>PT0S</ExecutionTimeLimit> <Priority>7</Priority> </Settings> <Actions Context="Author"> <Exec> <Command>C:\Users\Administrator\AppData\Roaming\RLuaghGA.exe</Command> </Exec> </Actions> </Task>

<2 创建一个进程 C:\Users\Administrator\AppData\Roaming\RLuaghGA.exe 获取常见邮件客户端的用户登录信息;获取常见的ftp软件连接保存信息;获取浏览器隐私信息。 例如

C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
C:\Users\Administrator\AppData\Roaming\Mozilla\icecat\profiles.ini
C:\Users\Administrator\AppData\Roaming\K-Meleon\profiles.ini
C:\Users\Administrator\AppData\Roaming\Pocomail\accounts.ini
C:\Users\All Users\AppData\Roaming\FlashFXP\3quick.dat
C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
C:\Users\Administrator\AppData\Roaming\CoreFTP\sites.idx
C:\FTP Navigator\Ftplist.txt
C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\*.xml
C:\Users\Administrator\AppData\Roaming\FTPGetter\servers.xml
C:\Program Files (x86)\jDownloader\config\database.script
C:\Users\Administrator\AppData\Roaming\Opera Mail\Opera Mail\wand.dat
C:\Users\Administrator\AppData\Roaming\Postbox\profiles.ini
C:\Users\vbccsb\AppData\Local\Google\Chrome\User Data\Default\Login Data
C:\Users\vbccsb\AppData\Roaming\Mozilla\Firefox\profiles.ini
C:\Users\vbccsb\AppData\Local\Yandex\YandexBrowser\User Data


未发现窃密的数据如何外传,或是检测到虚拟机未触发。



目标行业:
IT行业

奖励计划获奖情报所有权归微步在线所有。

微步在线有权对该情报进行使用、编辑、存储、复制、修改、创建衍生作品、交流、发布、公开执行、公开显示。

jokelin 2019-11-12 14:31:23 回复
100
root3306 2019-10-22 15:19:41 回复
50
奖励计划banner
今日推荐