原文链接:https://blog.radware.com/security/2018/07/micropsia-malware/
micropsia是一个自2018年6月开始的网络攻击,主要针对巴基斯坦官方。
下图为其目标分布图:
该病毒的传播手段和大部分病毒类似,都是通过钓鱼邮件,传播有毒的文件。这次的文件是一个新闻报道,但当这个文件被打开时,它会自动在后台下载并打开病毒文件。
这个病毒出众的地方在于它庞大的军火库:
- Microphone recording 麦克风录音
- Document stealing from connected USB flash drives 从USB闪存盗取文件
- Screen capturing 截屏
- Keylogging 键盘记录
- Document stealing from hard drive 从硬盘盗取文件
- Scanning all drives – full directory listing without filters 扫描所有文件
- Get files by specific path 通过文件路径获取文件
- Download and execute an arbitrary executable 下载并运行其他exe文件
- Update malware executable 病毒更新
该病毒的一些特点:
1.麦克风录音
这是一个比较高端的能力,大部分病毒都没有这个功能。
该病毒使用了Winmm.mciSendString API来控制计算机麦克风。当C2服务器发送下图命令至目标计算机时,这个API就会开始录音。
下图则是停止录音的命令:
2. USB文件盗取:
首先该病毒可以设定“USB volume insertion”事件来检测是否有USB插入该电脑。一旦该事件被触发,这个病毒就会用RAR工具来寻找文件后缀(*.xls, *.xlsx, *.csv, *.odt, *.doc, *.docx, *.ppt, *.pptx, *.pdf, *.mdb, *.accdb, *.accde, *.txt)从而盗取该USB内的文件。
3. 截屏和键盘记录
该病毒通过利用Gdi32.BitBlt API,每90秒截屏一次,并保存为未加密的jpeg格式文件,名字为截图的时间,后缀为写死的.his。
该病毒还可以利用user32.GetKeyState API来记录用户的键盘输入。它还可以在用户输入Ctrl+C时,盗取剪切板中的内容。这些记录都会配有其时间,记录在一个log文件中,后缀为.slog。
4.存储管理
大部分病毒都会把收集到的信息进行加密处理,再发送至C2服务器。而micropsia则是通过使用WinRAR对文件进行压缩。
该病毒会先在以下文件夹搜索是否有WinRAR程序:
如果没有的话,它就会自动为目标安装一个WinRAR。
然后它就会用以下命令每15分钟为每一个文件类型单独创建一个压缩包,将收集到的资料存入其中:
5.与C2服务器的交流:
病毒会自动每隔一段时间像C2服务器发送GET请求,而服务器会返回一个json文件,远程操作该病毒进行操作:
可用的命令: