我們最近發(fā)現(xiàn)流行軟件的虛假安裝程序被用來將惡意軟件捆綁包傳送到受害者的設(shè)備上。這些安裝程序被廣泛使用，誘使用戶打開惡意文檔或安裝不需要的應(yīng)用程序。

　　眾所周知，在網(wǎng)絡(luò)安全方面，用戶的安全操作環(huán)節(jié)通常被認(rèn)為是最薄弱的環(huán)節(jié)。這意味著它們成為攻擊的入口并經(jīng)常成為黑客的常見社會(huì)工程目標(biāo)。通過終端用戶，黑客再逐步地發(fā)起對(duì)企業(yè)的攻擊。員工有時(shí)并不知道是否受到網(wǎng)絡(luò)攻擊，或者不熟悉網(wǎng)絡(luò)安全最佳實(shí)踐，而攻擊者則確切地知道如何利用這種安全漏洞。

　　攻擊者欺騙用戶的一種方式是使用未經(jīng)授權(quán)的應(yīng)用程序或帶有惡意載荷的安裝程序來發(fā)起攻擊。我們最近發(fā)現(xiàn)其中一些虛假安裝程序被用來將惡意軟件捆綁包傳送到受害者的設(shè)備上。這些虛假安裝程序并不是攻擊者使用的新技術(shù)。事實(shí)上，它們是一種古老且廣泛使用的誘餌，可誘使用戶打開惡意文檔或安裝不需要的應(yīng)用程序。一些用戶在互聯(lián)網(wǎng)上搜索免費(fèi)或付費(fèi)應(yīng)用程序的破解版本時(shí)就會(huì)被誘導(dǎo)下載虛假版本。

　　當(dāng)用戶試圖下載破解版的非惡意應(yīng)用程序，這些應(yīng)用程序具有有限的免費(fèi)版本和付費(fèi)完整版本，特別是 TeamViewer（遠(yuǎn)程連接和參與解決方案應(yīng)用程序）、VueScan Pro（掃描儀驅(qū)動(dòng)程序應(yīng)用程序）、Movavi Video Editor（多合一的視頻制作工具），以及適用于 macOS 的 Autopano Pro（用于自動(dòng)拼接圖片的應(yīng)用程序）。

　　我們?cè)诖松钊胩接懙囊粋€(gè)示例涉及一名用戶試圖下載未經(jīng)授權(quán)的 TeamViewer 版本（該應(yīng)用程序之前實(shí)際上已被用作木馬間諜軟件）。用戶下載了偽裝成應(yīng)用程序破解安裝程序的惡意文件。

　　用戶下載的惡意文件

　　下載并執(zhí)行這些文件后，其中一個(gè)子進(jìn)程創(chuàng)建了其他文件和可執(zhí)行文件 setup.exe/setup-installv1.3.exe，該文件是通過 WinRAR.exe 從 320yea_Teamviewer_15206.zip 中提取的。這個(gè)文件似乎是大部分下載的惡意文件的來源，如下圖所示。

　　通過 WinRar.exe 解壓 setup-installv1.3.exe

　　之后，文件 aae15d524bc2.exe 被刪除并通過命令提示符執(zhí)行。然后生成一個(gè)文件 C:\Users\{username}\Documents\etiKyTN_F_nmvAb2DF0BYeIk.exe，依次啟動(dòng) BITS 管理下載。BITS admin 是一個(gè)命令行工具，可以幫助監(jiān)控進(jìn)度以及創(chuàng)建、下載和上傳作業(yè)。該工具還允許用戶從 Internet 獲取任意文件，這是攻擊者可以濫用的功能。

　　BITS 管理執(zhí)行檢測(cè)

　　我們還觀察到瀏覽器憑據(jù)存儲(chǔ)中的信息被攻擊者獲取。具體來說，C:\Users\{username}\AppData\Local\Microsoft\Edge\User Data\Default\Login 中存儲(chǔ)的數(shù)據(jù)被復(fù)制。存儲(chǔ)在瀏覽器中的憑據(jù)通常是關(guān)鍵的個(gè)人數(shù)據(jù)，攻擊者可能會(huì)利用這些數(shù)據(jù)訪問個(gè)人、企業(yè)或財(cái)務(wù)帳戶。攻擊者甚至可以在地下市場(chǎng)編譯和出售這些信息。

　　為了保持攻擊持久有效，在 AutoStart 注冊(cè)表中輸入了一個(gè)可執(zhí)行文件并創(chuàng)建了一個(gè)計(jì)劃任務(wù)：

　　創(chuàng)建計(jì)劃任務(wù)：C:\Windows\System32\schtasks.exe /create /f/sc onlogon /rl high /tn“services64”/tr ‘“C:\Users\{username}\AppData\Roaming\services64.exe” ’；

　　自動(dòng)啟動(dòng)注冊(cè)表：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prun:C:\WINDOWS\PublicGaming\prun.exe；

　　如上所述，這些案例的發(fā)生是因?yàn)橛脩羲阉髅赓M(fèi)應(yīng)用程序并相信有人會(huì)將破解或被盜的完整版本放在網(wǎng)上以示善意。但正如我們所見，攻擊者只是向誘騙目標(biāo)下載惡意程序。

　　在下圖中，我們可以看到一個(gè)木馬化的 VueScan 文件已經(jīng)在 Downloads 文件夾中并且由合法用戶執(zhí)行。

　　解壓61193b_VueScan-Pro-974.zip創(chuàng)建了一個(gè)新的過程

　　在執(zhí)行 setup_x86_x64_install.exe 之后，它創(chuàng)建并執(zhí)行了一個(gè)名為 setup_installer.exe 的新文件，該文件刪除了多個(gè)文件并查詢了多個(gè)域。這些域中的大多數(shù)都是惡意的，如下圖所示。

　　刪除惡意文件查詢幾個(gè)域

　　此惡意載荷還表現(xiàn)出后門行為，我們可以看到攻擊者正在監(jiān)聽以下頻道：127.0.0.1:53711 和 127.0.0.1:53713。這讓攻擊者可以在計(jì)算機(jī)中立足，通過這種方式，他們可能會(huì)在網(wǎng)絡(luò)中橫向移動(dòng)，如果是企業(yè)設(shè)備，則可能會(huì)危及關(guān)鍵的公司資產(chǎn)。

　　其他虛假安裝程序也有類似的行為，利用用戶嘗試下載未經(jīng)授權(quán)的應(yīng)用程序破解程序/激活程序或非法完整版本，這些感染會(huì)為以后的訪問創(chuàng)建持久性。

　　這種威脅有多普遍？

　　偽裝的惡意安裝程序和應(yīng)用程序通常用于將惡意軟件加載到受害者的設(shè)備上。最近的一些例子是廣泛使用的偽造加密貨幣挖掘應(yīng)用程序，它們利用了新手加密挖礦程序和偽造的 Covid-19 更新應(yīng)用程序。在跟蹤當(dāng)前這批虛假安裝程序時(shí)，我們能夠檢測(cè)到世界各地正在發(fā)生的攻擊事件。起初，我們并沒有將這些特定事件歸類為有針對(duì)性的攻擊，主要是因?yàn)樵谶@種情況下，用戶都會(huì)主動(dòng)搜索應(yīng)用程序破解程序或未破解版本的軟件。但是，即使這些最初不是有針對(duì)性的攻擊，它們以后也可能導(dǎo)致被攻擊，因?yàn)楣粽咭呀?jīng)潛伏在計(jì)算機(jī)中。除了加載惡意軟件之外，攻擊者還可以利用他們的初始訪問權(quán)限進(jìn)行惡意活動(dòng)，例如攻擊公司的虛擬專用網(wǎng)絡(luò) （VPN），他們甚至可以將訪問權(quán)出售給其他網(wǎng)絡(luò)犯罪團(tuán)伙，例如勒索軟件運(yùn)營(yíng)商。需要強(qiáng)調(diào)的是，攻擊者使用觸手可及的所有工具，甚至合法的應(yīng)用程序也可以被武器化。

　　當(dāng)然，我們也知道軟件盜版在很多地區(qū)都很普遍。從上圖的數(shù)據(jù)，我們可以推測(cè)它仍然是對(duì)安全的主要威脅。用戶必須更加了解這些非法安裝應(yīng)用可能持有的威脅，并實(shí)施更嚴(yán)格的安全措施，以便在他們的個(gè)人和工作設(shè)備上安裝和執(zhí)行來自網(wǎng)絡(luò)的應(yīng)用程序。

　　隨著遠(yuǎn)程辦公成為主要趨勢(shì)，還有其他物理連接的設(shè)備，如物聯(lián)網(wǎng) （IoT）、個(gè)人手機(jī)和個(gè)人電腦，但安全性較弱。這帶來了一個(gè)問題，因?yàn)閻阂廛浖梢栽谕痪W(wǎng)絡(luò)上從個(gè)人設(shè)備迅速傳播到企業(yè)電腦。

　　虛假安裝程序的惡意功能

　　我們能夠分析一些捆綁在安裝程序中的惡意文件。它們的功能各不相同，從加密貨幣挖掘到從社交媒體應(yīng)用程序中竊取憑據(jù)。具體如下：

　　Trojan.Win32.MULTDROPEX.A

　　惡意文件的主要傳播器

　　偽裝成合法應(yīng)用程序的破解程序/安裝程序

　　Trojan.Win32.SOCELARS.D

　　收集有關(guān)設(shè)備的信息

　　收集瀏覽器信息

　　收集社交媒體信息（Instagram 和 Facebook）

　　從 Steam 應(yīng)用程序收集信息

　　傳播負(fù)責(zé)進(jìn)一步竊取 Facebook/信用卡/支付憑證的 Google Chrome 擴(kuò)展程序

　　Trojan.Win32.DEALOADER.A

　　惡意軟件下載程序

　　URL未激活，但根據(jù)研究可能是另一個(gè)竊取程序

　　TrojanSpy.Win32.BROWALL.A

　　收集瀏覽器信息

　　收集加密貨幣錢包信息

　　TrojanSpy.Win32.VIDAR.D

　　收集瀏覽器信息

　　收集憑據(jù)

　　Trojan.Win64.REDLINESTEALER.N

　　執(zhí)行來自遠(yuǎn)程用戶的命令

　　收集有關(guān)設(shè)備的信息

　　收集瀏覽器信息

　　收集 FTP 客戶端信息

　　收集 VPN 信息

　　收集加密貨幣錢包信息

　　從其他應(yīng)用程序（Discord、Steam、Telegram）收集信息

　　Coinminer.MSIL.MALXMR.TIAOODBL

　　下載 Discord 上托管的挖礦模塊

　　XMR挖礦程序

　　通過計(jì)劃任務(wù)和自動(dòng)運(yùn)行注冊(cè)表安裝持久性

　　如何保護(hù)自己免受惡意軟件的威脅

　　如上所述，虛假安裝程序雖然由來已久，但它們?nèi)匀皇菑V泛使用的惡意軟件傳播途徑。攻擊者上傳越來越多這些虛假文件的原因很簡(jiǎn)單，因?yàn)樗鼈兛梢愿咝Оl(fā)起攻擊。用戶下載并執(zhí)行這些安裝程序，這讓攻擊者可以在個(gè)人設(shè)備中保持持久性，并為他們提供進(jìn)入公司網(wǎng)絡(luò)的途徑。

　　為了對(duì)抗這種威脅，用戶首先得意識(shí)到從不受信任的網(wǎng)站下載文件的影響。另外，需要采用多層安全方法。，如果一層保護(hù)失敗，還有其他保護(hù)層可以防止威脅。應(yīng)用程序控制將有助于防止執(zhí)行可疑文件。限制不需要訪問的用戶的管理員權(quán)限也是一個(gè)很好的預(yù)防措施。