偽冒的 Skype 網站欺騙使用者下載安裝惡意程式
集時安全資安技術服務團隊近期發現在網路上出現加料的 Skype 安裝軟體 ,該程式會刻意 包成 msi 安裝檔,執行後會直接在桌面建立正常的快捷,點擊後也會執行正常的 Skype 程式,但分析人員發現該安裝檔執行後會產生非 Skype 正常會出現的程式。
正常Skype 程式執行後並不會產生 iShowAudio.exe 等相關程式 ,而 iShowAudio.exe 雖然有合法的數位簽章,但卻有 DLL sideloading 的弱點,因此被駭客拿來利用。
惡意程式本身並不會常駐在電腦是透過使用者點擊桌面上的 lnk 檔來觸發。
Msi 安裝檔在執行的過程中會安裝正常的 Skype 但也會同時執行惡意程式,首先透過正常的Skype_luncher.exe 帶起惡意 downloader (mulproplus.dll) 至中繼站下載惡意 dropper (Skype_setup.exe),並將後續程式解壓縮至 Public intermediate 資料夾內,最終再透過正常的 iShowAudio.exe 帶起惡意 loader (AudioEngine.dll) 載入並解密惡意 payload (Temp.ttf) 後將 Gh0stRAT 載入到記憶體內執行。
C&C
- www[.]setupdown[.]com
- deravs[.]bid
結論與建議
駭客是透過購買 google 廣告方式,誘騙使用者點擊下載加料的 skype 安裝檔,因此使用者下載相關軟體盡量還是到官方網站進行下載,比較可以確保軟體不會被加料。
