近日,安天 CERT 在梳理网络安全事件时发现一个具有后门功能的 Neurevt 窃密木马。Neurevt 木 马 又 名 BetaBot, 从 2013 年 3 月 开始在地下市场进行售卖,价格大约在 120 美元到 500 美元不等。此版本的 Neurevt 窃密木马在 2021 年 6 月开始活跃,主要目标是窃取墨西哥金融机构用户的个人信息和其银行网站凭据等。
当样本执行后,会创建多个恶意文件,如以 .vbs、.bat 和 .exe 为后缀的恶意文件等。样本首先调用 wscript.exe 进程执行名为“435246.vbs”文件,435246.vbs 文件的功能为使用 cmd.exe 进 程 执 行 名 为“183.bat” 文 件。183.bat文件主要有两个功能:一、将创建好的文件“x0329847998”重命名为受密码保护的 rar 文件“43939237.rar”, 执 行 unpakedree.exe 并 使用密码“67dah9fasdd8kja8ds9h9sad”解压 rar 文件;二、使用 wscript.exe 进程执行解压后提取出的文件“3980392cv.vbs”。3980392cv.vbs 文件的功能是使用 cmd.exe 进程执行名为“48551.bat”文件。48551.bat 文件主要有两个功能:一、释放第二阶段有效载荷“xc829374091FD.exe”;二、将之前释放的所有文件进行删除。xc829374091FD.exe 进程首先会创建自身一个子进程,子进程创建 explorer.exe 进程并将自身重命名后注入到创建的 explorer.exe 进程中。第二阶段载荷的主要功能包括键盘记录、剪贴板记录、截取屏幕截图以及窃取计算机初始信息等。该窃密木马使用 HTTP POST 的方式将搜集的数据上传到 C2 服务器。
安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件、注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。目前,安天追影产品已经实现了对该窃密木马的鉴定;安天智甲已经实现了对该窃密木马的查杀。
