诱饵信息

以"0资金中转USDT钱包地址信息核对表.exe"为例，该木马在运行后会从C&C服务器获取png图片，png内容和木马的文件名有一定的关联性，同时在受害机器上打开png图片来迷惑受害者。

该木马多个模块层层嵌套且多是内存解密加载，落地文件极少并会加密伪装成png文件。该木马的一些模块还会检查自身文件名规则是否正确，检测安全防护相关进程。同时该木马的远控协议灵活强大，通过注册表自启动和服务实现持久化，寄希望于长期驻留实现数据或资金窃取。

技术分析

一、Load和伪装

诱饵程序释放自身数据段携带的加密数据到本地%TEMP%目录下，并伪装成png文件。

下图是对伪装成png文件的解密算法，该木马各个阶段使用的解密算法相同。

在本地创建隐藏目录C:\$MSIRecycle.Bin，该目录伪装成回收站文件夹。

从C&C服务器"43.128.26[.]244"接收两个png文件，写入C:\$MSIRecycle.Bin目录下。

通过VT关联发现该IP近期非常活跃关联到了多个恶意样本。

kb.png是真png，png内容和木马的文件名有关联性，并且木马会主动调用Windows照片查看器展示该图片。

TY.png是假png，其中数据被解密后得到Server.Dat.dll，该dll内嵌一个被加密的远控模块(Xy.dll)，后续的远控功能都在Xy.dll。

二、C&C远控模块

除了主机的硬件信息外，木马还可以接受远控指令收集剪贴板数据，键盘记录等。通过这两个操作实现窃取用户资料，获取有价值的数据甚至实现资金的窃取。

远控指令码和功能表

    该木马的远控功能很全面，包括了关机、键盘记录、执行指定cmd命令、加载C&C下发模块等操作。

三、屏幕监控模块

获取屏幕位图数据

全屏截图

总结

IOC

[MD5]

F88EB5D6A69BE27271C6684AB1554BFB

BAEC30327A2F8D185EA86B15FE13DEE1

41E88DC1E7DF507664D630DDA2AE5AEC

4507949F59ED7F56AA2FC38548F44878

E9701D41C9E9DB867AB1E3222E519FB6

[C2]

http://43.128.26[.]244:99/2021/0资金中转USDT钱包地址信息核对表.db

http://43.128.26[.]244:99/2021/20218031/kb.jpg

http://43.128.26[.]244:99/2021/20218031/TY.jpg

180.117.101[.]183

52jiankang[.]bid