新的釣魚方式，CHM 檔案被用於傳播銀行木馬

來自 Trustwave 的高階研究員 Rodel Mendrez 警告，又有新一輪的垃圾郵件正在肆虐巴西的相關機構組織，這些郵件中包含名為 “comprovante.chm” 的附件，它被用來傳播銀行木馬。

Rodel Mendrez 表示，木馬傳播過程中用到的多階段感染技術能夠有效防止殺軟的檢測，目前在測的 60 款 AV 產品中只有 8 款能夠識別出此惡意 CHM 附件。

攻擊者藉助了微軟的幫助檔案格式 CHM，此類檔案是互動式的，可執行 JS 指令碼，因此能夠訪問外部的 URL。在最近的幾起攻擊事件中，包括 11 月份由 Silence 團伙發動的攻擊，都可以看到 CHM 檔案的影子。

“一旦使用者開啟惡意的 CHM 檔案，那麼就會轉而執行一段 PowerShell 命令，其作用是下載第二階段的 PowerShell 指令碼。接著通過建立計劃任務來保證使用者登入時執行該惡意程式。” Mendrez 介紹說。“通過解壓 CHM 檔案，可以得到包含的 HTML 物件，其中就包括了Load_HTML_CHM0.html。當 hh.exe 程式載入這個 HTML 物件時，將執行一個名為 open() 的 JS 函式用於對資料進行 Base64 和 XOR 雙重解碼。解碼過程將還原出有效的 ClassID，進而執行惡意的 PowerShell 指令碼。PowerShell 命令將在後臺靜默執行，視窗樣式也被設成了隱藏，因此不易被察覺。最後下載 Google Sites 中託管的第二階段 PowerShell 指令碼。”

Mendrez 解釋說：“木馬檔案會先下載到 “%Appdata%\Sysinit” 目錄，然後再被複制到 “%Appdata%\SysRun” 目錄，關鍵的執行檔案包括 Server.bin、cmd.bin、XSysInit.bin（捕獲滑鼠及鍵盤活動）和 CRYPTUI.DLL（下載另外的 payload）。”

“接下去會包含三個階段的計劃任務。1）使用者登入時會執行惡意軟體；2）通過惡意 PowerShell 指令碼強制目標系統重啟；3）執行 Server.bin，它會載入 CRYPTUI.DLL 並生成惡意程式碼注入到 iexpress.exe 程式中，最後獲得使用者名稱、計算機名等系統資訊回傳給控制端伺服器。” Mendrez 寫道。

原文連結：https://threatpost.com/chm-help-files-deliver-brazilian-banking-trojan/129209/

本文由看雪翻譯小組 BDomne 編譯

---

Wordpress外掛驚爆後門，影響超過30萬站點

買一款有眾多使用者的外掛，並將之用於惡意軟體活動，已成為一種犯罪”新潮流“。

最近一個著名開發商BestWebSoft將wordpress的驗證外掛賣給了一個神祕買家，該買家隨後修改了外掛，並把後門下載安裝進一個隱藏的後門。

本週二釋出的一篇部落格中，WordFence 安全公司揭祕了為何WordPress 將備受歡迎的Captcha外掛（下載量超過30萬）清理出其官方外掛商城。

檢視Captcha外掛的原始碼時，安全研究人員發現了一個嚴重的後門，可允許黑客遠端獲取管理者許可權，不需要任何認證即可進入WordPress的網站。

該外掛在沒有站點管理員同意的情況下從官方Wordpress儲存庫安裝，並可從遠端URL（https[://]simplywordpress[dot]net/captcha/captcha_pro_update.php）自動提取更新的“後門”版本。

這個後門程式碼是為攻擊者建立一個登入介面，攻擊者是這種情況下即為外掛作者，具有管理許可權，允許他們無需任何身份驗證即可遠端訪問300,000個網站（使用此外掛）。

“這個後門建立了一個使用者ID為1的會話（WordPress首次安裝時建立的預設管理員使用者），設定身份驗證Cookie，然後刪除自己。”WordFence所發部落格中提到： “後門安裝程式碼是未經驗證的，那就意味著任何人都可以觸發它。”

另外，從遠端伺服器獲取的修改後的程式碼與合法外掛庫中的程式碼幾乎一樣，因此“觸發相同的自動更新過程，將刪除後門的所有檔案系統跟蹤”，使其看起來好像從不存在，並幫助攻擊者免於被檢測。

加入後門的原因目前還不清楚，但是如果有人願意花費這麼大的代價來購買一個擁有龐大使用者群的流行外掛，其背後動機定不單純。

有很多與此相似的案件，有組織的網路團伙如何利用流行外掛和應用程式，以隱身的方式感染他們龐大的使用者群，包括惡意軟體，廣告軟體和間諜軟體。

在查明Captcha外掛買家的真實身份的同時，WordFence的研究人員發現，為後門檔案提供服務的simplywordpress [dot]網域已經使用電子郵件地址“scwellington [at] hotmail.co.uk”註冊給名為“Stacy Wellington”的人“。

研究人員使用反向whois查詢，發現大量其他域都註冊到同一使用者名稱下，包括Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, and Social Exchange。

有一點很有意思，所有上述在該使用者下預訂的域名都包含有在Captcha中找到的同樣的後門程式碼。

WordFence與WordPress合作，修補了受到影響的Captcha外掛版本並阻止了作者的釋出更新，因此強烈建議網站管理員將其外掛替換為最新的官方Captcha版本4.4.5。

WordFence已承諾將釋出關於後門安裝和執行如何工作的深入技術細節，以及30天后的概念驗證漏洞，以便管理員獲得足夠的時間修補網站。

來源：hackernews

本文由看雪翻譯小組 哆啦咪 編譯