1.从gitlab上下载相关的样本,如下所示:
2.下载压缩包样本文件,如下所示:
3.解压缩文件之后,如下所示:
4.通过分析发现压缩包中的二进制文件都是正常的,难倒是样本下载出错了,传统的套路不都是白+黑的方式吗?进一步分析发现恶意代码隐藏在Lib库文件下面,如下所示:
5.通过ipinfo.io网站获取主机用户名、所在国家地区、时间戳、IP地址等信息,如下所示:
6.收集FireFox、Chrome、Edge等浏览器相关数据,如下所示:
7.获取FireFox浏览器登录信息、Cookie数据、密钥数据等,如下所示:
8.获取Chrome浏览器登录数据、本地数据、Cookie数据等,如下所示:
9.获取Edge浏览器登录数据、本地数据、Cookie数据等,如下所示:
10.获取FireFox登录数据,解密出登录的用户名和密码等,如下所示:
11.解密的过程,如下所示:
12.解密的时候需要用到加密的Key信息,获取Key的数据,如下所示:
13.获取FireFox浏览器Cookie数据,如下所示:
14.获取Chrome、Edge浏览器的登录数据,解密出用户名、密码以及访问的URL,如下所示:
15.获取Chrome、Edge浏览器访问facebook、google mail、microsoft等网站的Cookie数据,如下所示:
16.通过获取的Cookie信息,获取Facebook网站商业数据信息,如下所示:
访问的网站为adsmanager.facebook.com、graph.facebook.com、m.facebook.com、business.facebook.com等。
17.然后在%temp%目录下创建相应的文件夹,文件夹名按国家地区+IP+时间戳等信息组合而成,获取的数据存放在对应的文件夹内,如下所示:
18.例如获取的Chrome数据,如下所示:
19.将文件夹打包成ZIP压缩包之后,通过Telegram API上传到指定的Telegram Bot上面,如下所示:
20.Telegram Bot信息,如下所示:
到此该窃密木马就分析完毕了,都是源代码,不像二进制文件需要反汇编啥的,分析起来基本没啥难度,流程也非常清晰,没有混淆加密处理,但是这种加载方式有点意思,不是使用白+黑的方式,也不直接调用恶意Python脚本,而是通过python程序库来加载执行窃密脚本,由于涉及到的文件比较多,如果不仔细审计源代码很难发现。
