2020-07-04 04:40

「安全通告」COINSTEAL间谍木马来袭,开启多线程

近日,亚信安全截获COINSTEAL间谍木马,该木马开启多线程窃取浏览器cookie、VPN、钱包信息以及Outlook等软件信息。根据其所窃取的软件信息及钱包信息,安全研究人员认为该病毒主要流行于国外。亚信安全将其命名为:TrojanSpy.MSIL.COINSTEAL.AI。

该病毒使用C#编写,在LocalData、AppData以及Temp目录中随机选取一个目录字符串SysPatch(作为后面储存文件的目录)

拼接字符串,生成随机数字目录,格式为path=SysPatchrandom(x)random(y),Random(x)和Random(y)为随机产生的数字。

创建上述path目录,并在目录下创建Browsers目录,在Browsers目录下创建多个文件夹,用来存放窃取的数据信息:

Cookies文件夹Passwords文件夹Autofills文件夹Downloads文件夹History文件夹Cards文件夹

在path目录下创建Files文件夹,将Desktop文件夹、MyDocuments文件夹以及Users文件夹下所有文件全部复制到Files文件夹下。

线程sleep,随后创建多个线程获取用户信息,主要从浏览器获取cookie,登陆密码,账户表单,下载数据,历史浏览数据。

查看GetCookies线程,首先从AppData文件夹及LocalData文件夹下查找Cookies文件,查找方式为遍历上述文件夹及所有子文件夹,将找到的文件路径存储在列表和数组中。

如果数组中存在文件路径,判断该文件是否存在,然后查看AppData及LocalData文件夹下是否包含如下字符串:

使用FromBase64String API将解密key翻译为等效的密码,使用CryptUnprotectDataAPI对加密结构进行解密,获取到用于解密数据的key。

利用Decrypt API对数据进行解密,获取到URL链接、登录名、密码以及浏览器名称。删除复制过来的cookie数据,将解密出的数据储存在之前生成的Cookies文件夹下,以txt格式的文件储存,命名为Passwords_(浏览器名称).txt。

在注册表中获取用户所安装的程序信息,储存为Programms.txt,同时获取用户当前的进程相关信息,储存为Processes.txt。

获取FileZilla用户信息,包括Host、Port、User和Pass,全部储存在FileZilla.log文件中。

获取Cookies文件夹下的所有URL信息,截取URL域名保存到BrowserDomainDetect.txt文件中。

创建一个zip文件,将机器名、用户名、用户IP以及用户国家信息等写入zip注释中,并为zip文件设置密码。

使用post方法将打包好的zip文件发送到URL并提供给黑客下载的方法,随后删除生成的dir文件夹。

创建一个.bat文件,在文件中写入如下字符串,该字符串用于删除所有本地生成的保存窃取的用户数据文件。

不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;请到正规网站下载程序;采用高强度的密码,避免使用弱口令密码,并定期更换密码;打开系统自动更新,并检测更新进行安装。

亚信安全病毒码版本15.943.60,云病毒码版本15.943.71,全球码版本15.945.00已经可以检测,请用户及时升级病毒码版本。