受疫情的影响，越来越多的企业开始选择线上办公。近期，线上会议平台zoom成为越来越多黑客攻击的目标。研究人员发现有黑客利用这类攻击来传播恶意软件。

最近，trendmicro研究人员发现有黑客在合法zoom app安装包中加入了Coinminer，诱使想要安装zoom软件的用户下载和安装恶意软件。但是含有恶意软件的zoom安装包并非来自zoom官方下载中心，而是来自伪造的欺诈网址。

图 1. 含有zoom安装包和挖矿机64.exe的代码段

恶意软件分析

想要下载zoom安装包的用户会同时下载一个AutoIt编译的恶意软件Trojan.Win32.MOOZ.THCCABO。该文件包含以下内容：

图 2.  恶意文件内容

图 3. 文件内容详细分析

文件asascpiex.dll的前5个字节为NULL，然后回被0x00替代，来确保难以确定源文件前面，0x37 0x7A 0xBC 0xAF 0x27表明是一个7-zip压缩文件。然后，该文件会以CR_Debug_log.txt的形式复制，7zip中的CL_Debug_log.txt会用来解压缩密码保护的压缩文件。

图 4. asacpiex.dll文件格式签名的文件

文件会用cpuinfo标志位来确定受感染系统的架构。如果是64位系统就释放64.exe，但是包中不含有32.exe，也就是说该恶意软件目前只运行在64位操作系统中。

图 5. 64.exe代码段

该文件会使用WMI查询来收集GPU信息这样的信息，这些信息对挖矿来说是非常有用的。此外，还有收集CPU、系统、操作系统版本、视频控制器和处理器的信息。

图 6. 检查处理器详情的代码

图 7. 检查视频控制器详情的代码

此外，还会检查Microsoft SmartScreen和Windows Defender是否启用，并检查系统中是否运行了以下反病毒软件：

· AvastUI.exe / AvastSvc.exe→ Avast

· avguix.exe / AVGUI.exe→AVG

· avp.exe / avpui.exe→Kaspersky

· dwengine.exe→Dr. Web

· egui.exe / ekrn.exe→ESET NOD32

· MBAMService.exe→Malwarebytes

图 8. 检查运行的反病毒软件的代码

收集的信息会使用HTTP GET请求发送到hxxps://2no.co/1IRnc。

图 9. 使用HTTP GET请求发送给URL的信息

CR_Debug_log.txt 是一个用7-zip压缩的文件，其中含有payload 64.exe加密货币挖矿机。该文件会以复制helper.exe的形式复制到%appdata%\Roaming\Microsoft\Windows\文件夹中。这是一个含有7-zip文件和密码保护的压缩的Tor二进制文件的AutoIt编译的二进制文件。为了实现驻留，恶意软件设定了一个-SystemCheck 参数的计划任务。

图 10. -SystemCheck参数的计划任务描述

图 11. -SystemCheck计划任务-动作

用计划任务启动helper.exe软件后，就会用-SystemCheck91137 参数传播自己。

图 12. helper.exe属性中的命令行中有-SystemCheck91137

为了绕过检测，helper.exe会检查下面的进程是否会运行。除了安全工具外，还有其他帮助检测挖矿活动的监控工具，包括：

· aida64.exe

· AnVir.exe

· anvir64.exe

· GPU-Z.exe

· HWiNFO32.exe

· HWiNFO64.exe

· i7RealTempGT.exe

· OpenHardwareMonitor.exe

· pchunter64.exe

· perfmon.exe

· ProcessHacker.exe

· ProcessLasso.exe

· procexp.exe

· procexp64.exe

· RealTemp.exe

· RealTempGT.exe

· speedfan.exe

· SystemExplorer.exe

· taskmgr.exe

· VirusTotalUpload2.exe

然后会传播Tor二进制文件来开始加密货币挖矿。

图 13. helper.exe传播tor二进制文件

安全建议

快速从线下办公转为线上办公带来了许多的安全威胁，为此要确保采取适当的措施来确保远程办公的安全。也存在着攻击者滥用远程会议有用传播恶意软件的威胁。研究人员建议用户安装软件时从应用的官方网站下载来避免下载到恶意软件。远程办公时遵循安全最佳实践，此外还需要采用分层保护方法来确保安全。

本文翻译自：https://blog.trendmicro.com/trendlabs-security-intelligence/zoomed-in-a-look-into-a-coinminer-bundled-with-zoom-installer/如若转载，请注明原文地址