竊取加密貨幣的新型木馬：InnfiRAT

背景

近日，國外安全研究人員曝光了一種名為InnfiRAT的新型木馬，該木馬使用.NET編寫，具有竊取使用者資訊、抓取瀏覽器Cookie用於竊取密碼、螢幕擷取、下載執行其他惡意檔案等行為。除此之外，該木馬還會查詢主機上的加密貨幣錢包資訊，用於竊取加密貨幣（萊特幣和比特幣）。

功能分析

木馬程式首先檢測自身路徑是否為％AppData％\NvidiaDriver.exe，並且終止名為NvidiaDriver.exe的程式，將自身複製到％AppData％\NvidiaDriver.exe再次執行：

以NvidiaDriver.exe重新執行後，會拼接一段base64編碼的資料，解碼後是一個PE檔案，載入到記憶體中執行：

 

獲取主機資訊，檢查Manufacturer是否包含相關字串，以此來進行反虛擬機器操作：

 

建立DuplexChannelFactory來與C&C伺服器進行通訊：

tcp://62[.]210[.]142[.]219:17231/Ivictim

檢查是否存在相關分析工具的程式，如果存在，將結束該程式：

建立定時任務執行木馬母體：

從指定連線下載和執行檔案：

竊取UserProfile資訊傳送的C&C端：

竊取下列指定瀏覽器的Cookie資訊：

Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera

竊取加密貨幣錢包資訊：

解決方案

1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品使用者可進行病毒檢測，如圖所示：

2、深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺：

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3、使用深信服安全產品，接入安全雲腦，使用雲查服務可以即時檢測防禦新威脅；

4、深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力，針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

IOCs

MD5:

 f992dd6dbe1e065dff73a20e3d7b1eef

URL:

tcp://62.210.142.219:17231/IVictim

參考連結

https://www.zscaler.com/blogs/rese