360安全大腦獨家披露，“名企招聘”文件裡的詭詐木馬

找工作嗎？未入職先“中毒”的那種。隨著疫情逐漸消退，找工作的人也變得多了起來，而駭客們也開始“伺機而動”，冒充名企招聘人員大肆投放“帶毒”的虛假招聘檔案。

 

近日，360安全大腦獨家發現，有不法駭客團伙打著企業招聘的幌子，透過微信等通訊工具傳播新型go語言編寫的釣魚木馬。不過廣大使用者無需擔心，在發現該威脅的第一時間，360安全大腦已率先發布安全預警，並對此類木馬進行全方位查殺和攔截，保護政企多端使用者資料及財產安全。

 

釣魚木馬化身“偽裝者”

藏身“大廠”招聘檔案渾水摸魚

 

從360安全大腦捕獲的惡意樣本來看，此類木馬透過使用神似word檔案的圖示，以及超長檔名模糊.exe字尾的方式，“變裝”流竄網路。在發現該木馬後，360安全大腦對其展開了持續追蹤，經分析發現，該釣魚木馬在利用多重方式隱藏自身的同時，還會將檔案取名為知名網際網路企業招聘情況介紹等名稱，以迷惑不明真相的使用者。

 

 

值得注意的是，該釣魚木馬由go語言編寫。正如此前360安全大腦資料包告中強調的那樣，由於go語言本身的複雜性對於傳統殺軟基於特徵碼的查殺有較好的免殺效果，導致越來越多的木馬趨向使用go語言編譯製作。

 

下圖為該木馬在vt上的殺軟報毒情況：

 

 

釋放“word”的詭詐木馬 

監控螢幕記錄鍵盤多線放毒

 

分析過程中，360安全大腦發現，相比於常規木馬，該木馬會首先從自身檔案資料裡解壓出file.docx，並從環境變數裡找到cmd啟動file.docx。

 

 

file.docx是一份正常的word文件，內容和exe的檔名相符合，其作用是讓受害使用者誤以為啟動的只是這份word文件，起到欺騙使用者從而隱藏自身的作用。其會根據檢測虛擬機器及除錯環境結果判斷是否繼續執行，有異常則立即退出。

 

 

同時，其會從網路下載key、nonce、buf檔案並使用base64解碼。

 

而後，其將key,none用AES-256-gcm演算法解密buff，解出一段shellcode。

 

最後，跳入shellcode執行。

 

 

該shellcode是一個ReflectiveLoader，其作用是在記憶體中解出自身包含的srv.dll並執行其程式碼。而srv.dll是用Cobalt Strike生成的一個後門木馬。

 

 

在執行shellcode後會轉入srv.dll部分，srv.dll主體程式碼流程如下：

 

 

該木馬模組從記憶體中解密獲取要連線的木馬伺服器訪問列表。

 

 

獲取到列表之後依次迴圈遍歷伺服器地址，直到成功連線上遠端控制伺服器。

 

 

然後從可連線伺服器網址443埠中讀取控制資料，根據遠端下達的不同指令執行對應的程式碼，該木馬可以執行螢幕監控、上傳下載檔案、鍵盤記錄、執行任意程式等危險操作。

 

 

全線截殺木馬威脅

360安全大腦賦能防禦全場景

 

在網路安全環境越發複雜，木馬等常規威脅亦趨向多變的背景下，360安全大腦賦能下的新一代防護體系，先後推出了橫向移動防護、軟體劫持攻擊、無檔案攻擊等各類應對高階威脅攻擊的體系防護能力，以及RDP爆破攻擊，web應用系統漏洞，webshell攻擊等多項針對伺服器的防護能力，持續為政企多端使用者輸出安全防護力。

 

目前，在360安全大腦的強勢賦能下，360安全衛士等系列產品可在第一時間攔截查殺此類木馬威脅。同時，面對詭詐多變的釣魚木馬威脅，360安全大腦針對廣大政企多端使用者，給出如下安全建議：

 

1. 對於個人使用者，可及時前往weishi.360.cn下載安裝360安全衛士，強力查殺此類病毒木馬；

2. 對於廣大政企使用者，可透過安裝360終端安全管理系統，有效攔截木馬病毒威脅，保護檔案及資料安全，詳情可透過400-6693-600諮詢瞭解；而對於小微企業，則可直接前往safe.online.360.cn，免費體驗360安全衛士團隊版，抵禦木馬病毒攻擊；

3. 對於安全軟體報毒的程式，不要輕易新增信任或退出安全軟體；

4. 提高安全意識，不隨意開啟陌生人發來的各種檔案，如需開啟務必驗證檔案字尾是否與檔名符合。