【恶意文件】RootFinder Stealer恶意文件通告

2023-03-17 11,008

恶意家族名称:

RootFinder

威胁类型:

信息窃取

简单描述:

RootFinder 是一款基于 .NET 的窃密工具,该程序使用了 .NET Reactor进行多次混淆,运行时可以窃取主机信息和数十款浏览器的敏感信息、FTP账号密码等数据。


恶意文件分析

恶意事件描述

近日,深信服深盾终端实验室在运营工作中捕获到一款新型信息窃取病毒,该病毒由 .NET 语言编写,套用了开源软件 StormKitty 的部分代码。经过分析发现该病毒功能尚不完善且手法相对简单,该窃密程序已在黑客论坛售卖,后续可能还会持续更新。

大多数计算机感染源于用户打开恶意电子邮件附件、点击有害链接或从不可信的来源下载文件。攻击者还使用特洛伊木马、虚假安装程序、虚假软件更新和类似方法来诱导用户并感染他们的计算机。

恶意事件分析


MITRE ATT&CK




解混淆


首先查看文件的信息,发现是.NET写的32位程序,拖进dnspy发现存在混淆,使用de4dot经过多次解混淆之后查看该文件:



收集ARP信息


首先通过cmd执行arp -a命令收集主机arp信息



收集FileZilla信息


通过读取 recentservers.xml 和 sitemanager.xml 两个文件的内容获取ftp服务器账号密码。



之后将收集到的信息写入到C:WondowsHosts.txt中。


收集主机信息


使用通过WMI接口获取计算机CPU和显卡信息,之后与主机名,用户名进行拼接计算MD5:



收集主机反病毒软件信息



此外还包括:系统语言、公网IP、系统时间、操作系统和系统版本、内存大小、磁盘系列号、BIOS信息、MAC地址、子网扫描、内网IP。


收集浏览器信息



包括Opera、Google Chrome、MapleStudio ChromePlus、Iridium、7Start、CentBrower、Chedot、Vivaldi、Kometa、Element Browser、Epic Privacy Brower、uCozMedia、Chromium、Sleipnir、Citrio、Coowon、liebao、QIP Surf、Orbitum、Comodo、Amigo、Torch、Yandex、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、Brave-Browser、Edge,FireFox、WaterFox、Thunderbird、IceGragon、Cyberfox、BlackHaw、Pale Moon等众多浏览器保存的账号密码、cookie、搜索历史、***等信息,此时收集到的信息将被保存到C:Windows目录下的众多txt中。


发送数据


收集到的信息将以明文的形式发送到 Telegram 机器人中:



文件同样会被使用POST的方式发向Telegram,随后删除保存的txt文件


病毒运营者自述可以获取游戏客户端(Steam,Minecraft)账号,但在分析调试的时候暂未发现相关代码调用。


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/197814.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号