DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

本文涉及的产品
.cn 域名,1个 12个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶,近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。
本文讲的是 DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

一、综述

近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。请DocuSign的用户提高警惕,在收到相关邮件时仔细查验真伪,不要轻易打开邮件正文中的word文档查看链接。

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

火绒安全团队根据截获的病毒邮件分析和溯源,发现知名的数字文档签署平台DocuSign遭到黑客入侵,导致用户资料被泄露。病毒团伙得到用户信息后,伪造了一个假域名“DocuSgn”(比DocuSign少一个字母i),从这里向用户发出病毒邮件,病毒邮件伪装成会计发票,由于邮件标题及正文均使用 DocuSign 品牌标识,充满迷惑性,诱骗用户下载含有恶意代码的word文档,当用户打开文档时,系统会询问用户是否打开被禁用的恶意宏代码,如果用户启用被禁宏,便会开启病毒的多次接力下载,最终下载并运行Zbot。(如下图所示)

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

本次病毒邮件攻击的受害人群仅限于DocuSign用户,火绒安全通过虚拟行为沙盒可以检测出恶意行为,所以无需升级即可彻底查杀病毒,并且通过“恶意网址拦截”功能,拦截假冒域名docusgn.com。

二、事件分析

近期,火绒工作人员收到了一封来自"docusign"的邮件,经火绒工程师确认,这是一封伪装DocuSign的钓鱼邮件。图中发件人的邮箱地址为dse@docusgn.com,和官方docusign.com有一字之差,如下图所示:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

火绒一共收到4封正文相同的邮件,只是下载文档的地址变换了4次。分别如下:

hxxp://hertretletan.ru/file.php?document=MjEzM3pob3VqdW5AaHVvcm9uZy5jbjYxODg=
hxxp://search4athletes.com/file.php?document=MDY2NHpob3VqdW5AaHVvcm9uZy5jbjI1MTg=
hxxp://tannareshedt.ru/file.php?document=NjQzNXpob3VqdW5AaHVvcm9uZy5jbjcwMzE=
hxxp://lasvegastradeshowmarketing.com/file.php?document=NjE3Nnpob3VqdW5AaHVvcm9uZy5jbjU2MTA=

点击“REVIEW DOCUMENT”下载包含恶意代码的Word文档:
DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

下载的文档内容也是相似,只有一副图片。火绒初步怀疑该恶意文档是使用MetaSpolit工具生成。打开文档后,Word会询问用户是否打开被禁用的恶意宏代码,如下所图:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

如果按照钓鱼文档的说明,关闭安全警告启用宏,就会触发文档中的恶意脚本,脚本执行过程中会进行多次解密,解密数据来自于宏脚本窗口中的控件对象。控件对象数据如下:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

关键解密过程如下:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

控件对象数据最终会解密出包含恶意代码的PE文件,然后启动系统进程svchost.exe,将解密后的病毒注入到svchost.exe中执行:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

被注入的svchost.exe还是一个下载器,联网后下载另一个病毒程序"BN2589.tmp.exe"到TEMP目录并执行。
通过分析, “BN2589.tmp.exe”是一个被混淆器多重加密的Zbot。病毒会启动explorer.exe作为傀儡进程运行恶意代码:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

上图中Explorer被病毒Patch了入口点代码,确保在Explorer恢复线程后,可以从入口点跳转到注入的恶意代码,随后跳转到恶意代码入口点继续解密:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

注入到explorer的恶意代码是一个混淆后的动态库,其导入表是经过加密进行存放的,在动态库被注入后会先对其导入表进行修复,修复后进会保留函数地址,并对函数名部分进行擦除:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

其父进程注入explorer时会在其内存块其实地方记录下一段加密的用户配置信息和启动程序路径:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶
DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

病毒主逻辑中,首先会检测虚拟机进行反调试:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

该样本中所使用的所有资源都被加密:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

通过解密可以得到C&C服务器域名如下:

http://hargotsinlitt.com/bdk/gate.php
http://mafeforthen.com/bdk/gate.php

其程序运行中会不断的尝试联网,获取C&C传回的数据信息。在样本中我们还发现大量DNS服务器,如下:

185.121.177.53
185.121.177.177
45.63.25.55
111.67.16.202
142.4.204.111
142.4.205.47
31.3.135.232
62.113.203.55
37.228.151.133
144.76.133.38

这些DNS服务器具有DNSCrypt功能,推测其目的是加密访问病毒C&C服务器,如下:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

完整的解密后数据:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

根据病毒的行为和复杂程度,结合上图中红色框中的解密出来的字符片段,但是通过此前泄露的ZBot源码,可以断定这就是Zbot无疑:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

Zbot是一个历史悠久且功能复杂的木马程序,因为源码的泄露。使得任何人都可对其修改,我们可以从之前泄露的Zbot源码看到病毒有以下主要行为:

1. 获取浏览器cookies,flash player cookies, FTP密码和email密码。

Zbot会针对不同的FTP和email客户端,读取其保存账户信息的注册表或文件,之后将收集到的信息打包发送到病毒作者的C&C服务器。从下面两张图中,我们可以看到Zbot能够盗取市面上主流FTP和email软件的账户信息。

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

2. HOOK InternetReadFile 和 InternetReadFileExA函数,在获取网页时向网页中注入代码获取用户的账户信息:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

3. HOOK GetClipboardData 函数获取剪切板信息:
4. HOOK TranslateMessage函数,拦截程序消息,当为按钮按下消息时,截屏保存图片。当为键盘按键消息时,则记录按键信息。如下图所示:

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶

除了上述介绍的几个函数外Zbot还HOOK了一些系统API,和上述方法类似,主要用于获取用户信息,这里就不再详细列举。

Docusign是数字文档签署平台,其客户多是企业用户。此次Zbot攻击,非常有针对性,结合Zbot的行为, 不排除病毒会窃取商业资料,网银密码、等企业关键信息。

火绒在拦截到病毒样本之前就已经可以对相关病毒样本进行查杀,并且在拦截到病毒当天就升级了恶意网址拦截,阻拦了虚假域名docusgn.com。

DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶



原文发布时间为:2017年5月22日
本文作者:火绒安全实验室 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
Web App开发 安全
警惕潜伏的“窥秘者”木马盗取用户私密信息
卡巴斯基实验室最近检测到一种名为“窥秘者”木马(Trojan.Win32.Agent.cgjo)的恶意软件。 该木马采用Upack加壳,一般通过网页挂马等方式感染用户计算机。它感染用户计算机后,会释放一些恶意程序到用户磁盘并运行,同时删除自身,使用户不易察觉到已经感染恶意软件。
1084 0
|
Web App开发 安全
专家:警惕手机黑客冒充服务商骗取帐户信息
6月2日消息,大多数人觉得使用手机访问银行帐户的方式是比较安全的,但日前安全专家提醒用户,黑客可能会通过冒充服务商获取用户的机密信息,进而威胁用户的银行帐户安全。 据国外媒体报道,业内人士指出,虽然目前使用手机访问帐户的用户尚在少数,因此风险看上去还不是很大,但是值得注意的是,使用手机网络的用户正在迅速增加。
815 0
|
安全
变形金刚热映黑客借机“下毒” 用户谨防木马
6月24晚凌晨,备受全球“金粉”期待的大片《变形金刚2》火热登陆北京各大院线,票房再现“井喷”之势。与此同时,金山毒霸云安全中心从该片众多下载链接中,检测、拦截到诸多木马和病毒。金山毒霸反病毒专家李铁军提醒广大互联网用户:支持正版影片,谨慎选择互联网下载链接。
1008 0
|
安全 Android开发 数据安全/隐私保护
|
Web App开发 存储 安全
|
Web App开发 安全 区块链
一次对恶意邮件分析并拿下其赎金服务器的溯源
本文讲的是一次对恶意邮件分析并拿下其赎金服务器的溯源,在这个案例里面,我们通过分析垃圾邮件,进而劫持其赎金服务器,并且告知每个人关于发现的这一威胁。然后我会尝试寻找攻击者身份,并且将有关信息告诉执法部门。不过这一部分就不在文章中公开了。
1852 0
|
Web App开发 安全
新型Gmail钓鱼攻击连最谨慎的用户都会中招
本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招,一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客
1353 0