伪装成ToDesk安装程序加载后门盗取数字货币
字数 2175 2025-08-22 18:37:14

恶意软件分析:伪装成ToDesk安装程序加载后门盗取数字货币

概述

本文档详细分析了一种新型恶意软件,该软件伪装成ToDesk远程控制软件的安装程序,实际包含后门功能,专门针对数字货币钱包进行窃取。该恶意软件具有较高的对抗性,采用多种技术手段规避检测。

样本特征

  1. 打包方式:使用Setup Factory打包的安装程序
  2. 释放文件:安装完成后在dev目录下生成恶意文件
  3. 加载方式:采用"白+黑"技术(合法程序加载恶意DLL)

技术分析

恶意模块特征

  • 编程语言:Delphi编写
  • 编译时间:2024年10月30日
  • 混淆技术:所有导出函数均被混淆
  • 关键函数:恶意代码隐藏在IsWindowServer导出函数中

数据解密过程

  1. 读取同目录下的Prgkectiodn.u6mg文件
  2. 使用异或算法解密文件内容
  3. 解密后得到Payload(同样为Delphi编写)

Payload功能

  • 执行函数:通过M78E27BDC3EF60E302EDD6DD505E10A2F22D17DD23AF703GYT导出函数调用
  • 持久化
    • 创建互斥量GREHERTHE27BDE2361E06CCD30E00B3AFDGFDG5
    • 设置自启动注册表项

信息收集

  • 操作系统版本、类型
  • 系统GUID
  • BIOS信息
  • 安全软件信息

远控功能

Payload包含数十个指令,执行不同操作,重点关注数字货币相关功能:

  1. 定位数字货币钱包

    • 通过Chrome扩展程序ID识别钱包
    • 针对ETH和TRON等主流数字货币

  2. 数据窃取

    • 浏览器数据
    • 数字货币钱包信息
    • 私钥和助记词

C2基础设施

  • 域名:golomee.com
  • 关联组织:威胁情报标记为"黑猫"黑产组织

针对的数字货币钱包列表

钱包名称 Chrome扩展ID
MetaMask nkbihfbeogaeaoehlefnkodbefgpgknn
MetaMask ejbalbakoplchlghecdalmeeeajnimhm
TronLink ibnejdfjmmkpcnlpebklmnkoeoihofec
Phantom bfnaelmomeimhlpmgjnjophhpkkoljpa
Terra Station aiifbnbfobpmeekipheeijimdpnlpgpp
Keplr dmkamcknogkgcdfhhbddcghachkejeap
Math Wallet afbcbjpbpfadlkmhmclhkeeodmamcflc
Binance fhbohimaelbohpjbbldcngcnapndodjp
Trust Wallet egjidjbpglichdcondbcbdnbeeppgdph
Coin98 Wallet aeachknmefphepccionboohckonoeemg
Wombat Gaming Wallet amkmjjmmflddogmhpjloimipbofnfjih
Pontem Aptos Wallet phkbamefinggmakgklpkljjmgibohnba
X Wallet bofddndhbegljegmpmnlbhcejofmjgbn
Keeper Wallet lpilbniiabackdjcionkobglmddfbcjo
TON Wallet nphplpgoakhhjchkkhmiggakijnkhfnd
Leap Terra Wallet aijcbedoijmgnlmjeegjaglmepbmpkpi
XDEFI Wallet hmeobnfnfcmdkdcmlblgagmfpfboieaf
Ronin Wallet fnjhmkhhmkbjkkabndcnnogagogbneec
Oasis Wallet ppdadbejkmjnefldpcdjhnkpbjkikoip
Coinbase Wallet hnfanknocfeofbddgcijnmhnfnkdnaad
bitkeep Wallet jiidiaalihmmhddjgbnbgdfflelocpak
Argent X dlcobpjiigpikoobohmabehhmhfoodbb

(完整列表见原文)

防护建议

  1. 软件下载

    • 仅从官方网站下载软件
    • 验证数字签名

  2. 安全实践

    • 使用硬件钱包存储大量数字货币
    • 定期检查浏览器扩展程序
    • 使用专用设备进行数字货币交易

  3. 技术防护

    • 部署终端防护解决方案
    • 监控可疑的注册表修改
    • 关注威胁情报更新

  4. 安全意识

    • 警惕非官方渠道分发的软件
    • 定期检查系统进程和网络连接
    • 对异常行为保持警觉

总结

随着WEB3和加密货币的流行,针对数字货币的恶意软件日益增多。此类恶意软件通常具有低检出率、高对抗性特点。用户应提高安全意识,采取多层次防护措施,保护数字资产安全。

恶意软件分析:伪装成ToDesk安装程序加载后门盗取数字货币 概述 本文档详细分析了一种新型恶意软件,该软件伪装成ToDesk远程控制软件的安装程序,实际包含后门功能,专门针对数字货币钱包进行窃取。该恶意软件具有较高的对抗性,采用多种技术手段规避检测。 样本特征 打包方式 :使用Setup Factory打包的安装程序 释放文件 :安装完成后在 dev 目录下生成恶意文件 加载方式 :采用"白+黑"技术(合法程序加载恶意DLL) 技术分析 恶意模块特征 编程语言 :Delphi编写 编译时间 :2024年10月30日 混淆技术 :所有导出函数均被混淆 关键函数 :恶意代码隐藏在 IsWindowServer 导出函数中 数据解密过程 读取同目录下的 Prgkectiodn.u6mg 文件 使用异或算法解密文件内容 解密后得到Payload(同样为Delphi编写) Payload功能 执行函数 :通过 M78E27BDC3EF60E302EDD6DD505E10A2F22D17DD23AF703GYT 导出函数调用 持久化 : 创建互斥量 GREHERTHE27BDE2361E06CCD30E00B3AFDGFDG5 设置自启动注册表项 信息收集 操作系统版本、类型 系统GUID BIOS信息 安全软件信息 远控功能 Payload包含数十个指令,执行不同操作,重点关注数字货币相关功能: 定位数字货币钱包 : 通过Chrome扩展程序ID识别钱包 针对ETH和TRON等主流数字货币 数据窃取 : 浏览器数据 数字货币钱包信息 私钥和助记词 C2基础设施 域名 :golomee.com 关联组织 :威胁情报标记为"黑猫"黑产组织 针对的数字货币钱包列表 | 钱包名称 | Chrome扩展ID | |---------|-------------| | MetaMask | nkbihfbeogaeaoehlefnkodbefgpgknn | | MetaMask | ejbalbakoplchlghecdalmeeeajnimhm | | TronLink | ibnejdfjmmkpcnlpebklmnkoeoihofec | | Phantom | bfnaelmomeimhlpmgjnjophhpkkoljpa | | Terra Station | aiifbnbfobpmeekipheeijimdpnlpgpp | | Keplr | dmkamcknogkgcdfhhbddcghachkejeap | | Math Wallet | afbcbjpbpfadlkmhmclhkeeodmamcflc | | Binance | fhbohimaelbohpjbbldcngcnapndodjp | | Trust Wallet | egjidjbpglichdcondbcbdnbeeppgdph | | Coin98 Wallet | aeachknmefphepccionboohckonoeemg | | Wombat Gaming Wallet | amkmjjmmflddogmhpjloimipbofnfjih | | Pontem Aptos Wallet | phkbamefinggmakgklpkljjmgibohnba | | X Wallet | bofddndhbegljegmpmnlbhcejofmjgbn | | Keeper Wallet | lpilbniiabackdjcionkobglmddfbcjo | | TON Wallet | nphplpgoakhhjchkkhmiggakijnkhfnd | | Leap Terra Wallet | aijcbedoijmgnlmjeegjaglmepbmpkpi | | XDEFI Wallet | hmeobnfnfcmdkdcmlblgagmfpfboieaf | | Ronin Wallet | fnjhmkhhmkbjkkabndcnnogagogbneec | | Oasis Wallet | ppdadbejkmjnefldpcdjhnkpbjkikoip | | Coinbase Wallet | hnfanknocfeofbddgcijnmhnfnkdnaad | | bitkeep Wallet | jiidiaalihmmhddjgbnbgdfflelocpak | | Argent X | dlcobpjiigpikoobohmabehhmhfoodbb | (完整列表见原文) 防护建议 软件下载 : 仅从官方网站下载软件 验证数字签名 安全实践 : 使用硬件钱包存储大量数字货币 定期检查浏览器扩展程序 使用专用设备进行数字货币交易 技术防护 : 部署终端防护解决方案 监控可疑的注册表修改 关注威胁情报更新 安全意识 : 警惕非官方渠道分发的软件 定期检查系统进程和网络连接 对异常行为保持警觉 总结 随着WEB3和加密货币的流行,针对数字货币的恶意软件日益增多。此类恶意软件通常具有低检出率、高对抗性特点。用户应提高安全意识,采取多层次防护措施,保护数字资产安全。