活跃的Jester Stealer窃密木马及其背后的黑客团伙分析

时间 :  2022年05月10日  来源:  安天CERT

1.概述


近日,安天CERT捕获到一个同时释放Jester Stealer窃密木马和Merlynn Cliper剪贴板劫持器的恶意样本。其中,Jester Stealer窃密木马能够窃取受害者系统凭据、Wi-Fi密码、屏幕截图、浏览器保存的密码、Cookies、软件数据等重要数据,将其打包为zip格式压缩包后通过HTTP或Tor匿名网络回传,也支持上传到AnonFiles匿名网盘的备用回传方式;Merlynn Cliper剪贴板劫持器会将剪贴板中的数字钱包地址替换为攻击者预设的钱包地址,以此劫持受害者的挖矿地址配置和数字货币转账等操作,造成受害者虚拟财产的损失。

对本次样本进行关联分析发现,该样本释放的窃密木马及剪贴板劫持器均由Jester Stealer黑客团伙开发售卖。该黑客团伙自2021年7月20日起售卖窃密木马,同年10月2日后也开始通过售卖剪贴板劫持器、挖矿木马和僵尸网络等多种不同类型的恶意软件获利,是典型的商业化运营的黑客团伙。此前,安天CERT在《商业窃密木马综合分析报告》[1]中提到目前商业窃密木马通过下发其它类型的恶意代码获取更多收益,结合Jester Stealer黑客团伙近期发布售卖的多种恶意软件,可以看到商业窃密团伙正在开发更多的非法获利途径。

经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、剪贴板劫持器等恶意软件的有效查杀。

2.样本对应的ATT&CK映射图谱


样本对应的技术特点分布图:

图2-1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表2-1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

搭建回传服务器

能力开发

开发攻击程序

环境整备

利用Github托管文件

初始访问

网络钓鱼

投放钓鱼邮件

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

将自身复制到启动目录下

防御规避

反混淆/解码文件或信息

解密攻击载荷

隐藏行为

隐藏行为

修改注册表

修改注册表

混淆文件或信息

加密攻击载荷

虚拟化/沙箱逃逸

根据虚拟化/沙箱环境改变执行流程

凭证访问

 

从存储密码的位置获取凭证

从存储密码的位置获取凭证

操作系统凭证转储

获取操作系统凭证

窃取Web会话Cookie

窃取Web会话Cookie

发现

发现文件和目录

发现文件和目录

查询注册表

查询注册表

发现软件

发现软件

发现系统信息

发现系统信息

发现系统地理位置

发现系统地理位置

发现系统网络配置

发现系统网络配置

发现系统网络连接

发现系统网络连接

发现系统时间

发现系统时间

虚拟化/沙箱逃逸

检测虚拟化/沙箱环境

收集

压缩/加密收集的数据

将收集的数据压缩为zip格式

自动收集

自动收集数据

收集剪贴板数据

收集剪贴板中的电子钱包地址

收集本地系统数据

收集本地系统数据

收集电子邮件

收集电子邮件

获取屏幕截图

获取屏幕截图

数据渗出

自动渗出数据

自动回传收集的数据

限制传输数据大小

限制文件收集的大小

使用Web服务回传

使用Web服务回传

影响

操纵数据

操纵剪贴板数据

3.防护建议


为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 提升主机安全防护能力

(1)安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;

(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

3.2 使用沙箱分析可疑邮件

(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;

(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

(1)联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、剪贴板劫持器等恶意软件的有效查杀。

图3-1 安天智甲为用户终端提供有效防护

4.样本分析


本次捕获的恶意样本通过加载器解密并释放两个攻击载荷,分别为:名为Jester Stealer的窃密木马、名为Merlynn Clipper的剪贴板劫持器。

4.1 加载器分析

加载器从自身资源数据中读取加密载荷和密钥,通过异或解密两个攻击载荷,释放到%Temp%目录下并执行。

4.1.1 样本标签

表4-1 样本标签

病毒名称

Trojan/Win32.Dropper

原始文件名

JoinerStub.exe

MD5

9760B3E37006E0F3EDDE69F9A92C535A

处理器架构

Intel 386 or later, and compatibles

文件大小

335.50 KB (343,552字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2043-01-04 16:42:13(伪造)

数字签名

加壳类型

编译语言

.NET

VT首次上传时间

2021-12-19 13:30:06

VT检测结果

45/68

4.1.2 样本分析

加载器中嵌有攻击载荷资源数据,其中以“<文件名>”及“k<文件名>”命名的一组资源分别为经过加密处理的载荷及其对应的密钥。加载器读取资源数据并通过异或解密两个攻击载荷。

图4-1 解密攻击载荷

将两个攻击载荷释放到%Temp%目录下并执行。

图4-2 释放攻击载荷并执行

4.2 Jester Stealer窃密木马分析

Jester Stealer窃密木马能够窃取受害者系统凭据、Wi-Fi密码、屏幕截图、浏览器保存的密码、Cookies、软件数据等重要数据,将其打包为zip格式压缩包后通过HTTP或Tor匿名网络回传,也支持上传到AnonFiles匿名网盘的备用回传方式。

4.2.1 样本标签

表4-2 样本标签

病毒名称

Trojan[Spy]/Win32.JesterStealer

原始文件名

chrome.exe

MD5

A09C37144CA538B0BC4499BF59C691F1

处理器架构

Intel 386 or later, and compatibles

文件大小

226.50 KB (231,936字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2060-08-07 20:14:13(伪造)

数字签名

加壳类型

编译语言

.NET

VT首次上传时间

2021-12-20 23:46:15

VT检测结果

27/68

4.2.2 样本分析

创建互斥量“c6b4a73b-035e-4027-8c9d-f30fcd7f128e”,确保只有一个实例在运行。

图4-3 创建互斥量

检查自身是否处于虚拟机、沙箱环境。

图4-4 检查虚拟机、沙箱环境

通过设置及检查注册表“HKEY_CURRENT_USER\SOFTWARE\1f66786f-2f7a-e85c-9153-f9809a7bbf87\state”,避免窃密程序在同一设备重复执行。

图4-5 设置注册表避免重复执行

获取系统基础信息。

图4-6 获取系统基础信息

窃取系统Vault、Credman中的密钥信息,获取Wi-Fi网络密码。

图4-7 获取系统密钥、网络密码

获取屏幕截图。

图4-8 获取屏幕截图

窃取软件的数据,受影响的软件如下表。

表4-3 受影响软件范围

FTP

FileZilla

WinSCP

CoreFTP

Snowflake

 

VPN

NordVPN

EarthVPN

WindscribeVPN

 

 

浏览器

360Browser

7Star

Amigo

Atom

BlackHaw

Brave

CentBrowser

Chedot

Chrome

ChromePlus

Chromium

Chromodo

Citrio

CocCoc

Comodo

Coowon

Cyberfox

Dragon

Elements

EpicPrivacy

Firefox

IceDragon

Iridium

K-Meleon

K-Melon

Kometa

liebao

Maxthon3

MS Edge

Nichrome

Opera GX

Opera Stable

Orbitum

Pale Moon

QIP Surf

Sleipnir5

Sputnik

Thunderbird

Torch

Uran

Vivaldi

Waterfox

Yandex

 

 

通信软件

Telegram

Discord

Pidgin

Outlook

FoxMail

WhatsApp

Signal

RamBox

 

 

电子钱包

MoneroCore

BitcoinCore

DashcoinCore

DogecoinCore

LitecoinCore

Electrum

Exodus

Atomic

Jaxx

Coinomi

Zcash

Guarda

Wasabi

 

 

密码管理器

BitWarden

KeePass

NordPass

1Password

RoboForm

娱乐

Steam

Twitch

OBS

 

 

重要文件

DropBox

OneDrive

 

 

 

在内存中将窃取到的数据打包为zip格式,其中还标注了该木马的版本号v1.7.0.1。

图4-9 打包为zip格式的回传数据

使用HTTP协议回传数据:若C2地址中含有“.onion”域名,则从Github某公开仓库中下载Tor客户端并将其设置为代理服务器后回传,若C2地址为其他域名则直接回传。

图4-10 回传数据

若HTTP方式回传失败,则将文件上传至AnonFiles网站。该网站为公开的匿名文件存储网站,攻击者将其作为接收回传数据的匿名途径,增加了溯源反制难度。

图4-11 上传至AnonFiles

4.3 Merlynn Cliper剪贴板劫持器分析

Merlynn Cliper剪贴板劫持器运行后会持续监听系统剪贴板,若剪贴板内容为数字钱包地址,则将其替换为攻击者预设的钱包地址,以此劫持受害者的数字货币转账等操作,造成受害者虚拟财产的损失。

4.3.1 样本标签

表4-4 样本标签

病毒名称

Trojan/Win32.MerlynnCliper

原始文件名

svchost.exe

MD5

EEC41C39511EE00773A1E8114AC34E70

处理器架构

Intel 386 or later, and compatibles

文件大小

91.98 KB (94,192字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2055-08-18 21:54:28(伪造)

数字签名

加壳类型

编译语言

.NET

VT首次上传时间

2021-12-18 13:46:52

VT检测结果

22/68

4.3.2 样本分析

检查是否为调试、沙箱、虚拟化环境,若为上述环境则退出进程。

图4-12 检查运行环境

将自身复制到启动目录下实现自启动,然后删除原文件。

图4-13 设置自启动

设置剪贴板侦听器,捕获系统中剪贴板修改事件。

图4-14 设置剪贴板侦听器

使用正则表达式匹配剪贴板内容,若匹配到剪贴板中内容为数字钱包地址,则将其替换为攻击者预设的钱包地址,以此劫持受害者的挖矿地址配置和数字货币转账等操作。

图4-15 劫持剪贴板内容

攻击者预设的数字钱包地址如下。

图4-16 攻击者预设的钱包地址

通过Telegram API将被替换的剪贴板内容发送给攻击者。

图4-17 回传剪贴板劫持结果

5.Jester Stealer黑客团伙关联分析


通过对样本的关联分析发现,该样本释放的窃密木马及剪贴板劫持器均由Jester Stealer黑客团伙开发售卖。该黑客团伙从2021年7月20日起售卖窃密木马,同年10月2日后也开始通过售卖剪贴板劫持器、挖矿木马、僵尸网络等多种不同类型的恶意软件获利,是典型的商业化运营的黑客团伙。

Jester Stealer窃密木马为该黑客团伙主要销售的恶意软件,于2021年7月20日首次在黑客论坛售卖。该窃密木马频繁更新,更新内容主要为增加新的窃密功能、适配攻击目标环境的变化、修复bug等,本次分析的样本为v1.7.0.1版本。

表5-1 Jester Stealer窃密木马版本更新

日期

版本

说明

2021720

Jester Stealer v1.0

Jester Stealer 首次在黑客论坛出现,主要宣传内容为:支持大量软件窃密,支持通过Tor网络及AES-CBC-256加密回传,支持Telegram通知,支持反虚拟机、反沙箱、防止重复运行等功能。采用买断制付费。

202188

Jester Stealer v1.1

增加窃取电子货币钱包功能。

2021810

Jester Stealer v1.2

增加社交网站账号粉丝数等信息自动提取、浏览器Cookies保存为Json格式等功能。

2021812

Jester Stealer v1.3

增加Github账号信息提取等功能,优化接收到信息的展示。

2021820

Jester Stealer v1.4

增加针对Chrome浏览器及个别网站的新窃密能力。

2021825

Jester Stealer v1.5

增加备用回传C2地址,增加更多针对金融域名的窃密能力。

2021917

Jester Stealer v1.5.0.1

Jester Stealer v1.5.0.2

修复多个bug

2021928

Jester Stealer v1.6.0.1

支持Windows 11系统。

2021930

Jester Stealer v1.7

自动解析文件中可能存在的电子钱包种子、私钥等。

2021106

Jester Stealer v1.7.0.1

修复多个bug

20211214

Jester Stealer v1.7.0.3

适配Chrome v96版本的Cookie窃取。

202214

Jester Stealer v1.8

增加多种数据窃密功能。

2022121

Jester Stealer v1.7.1.0

提高回传速度。

除窃密木马外,Jester Stealer黑客团伙销售的恶意软件还包括剪贴板劫持器Merlynn Clipper、挖矿木马Trinity Miner和僵尸网络Lilith BotNet等。这些恶意软件通常有几十到几百美元不等的多个价格档位,以此可看出该团伙正在尝试增加获利来源,获取更多非法收益。

表5-2 Jester Stealer黑客团伙出售的恶意软件

恶意软件

最早销售日期

售价(美元)

说明

Jester Stealer

2021720

99~249

Jester Stealer窃密木马。

Jester Stealer Builder

202192

459~999

Jester窃密木马构建器,用于生成自定义功能、伪装、混淆等的木马程序,包含C2服务器代码用于自行搭建。

Lilith BotNet

2021102

150~700

Lilith僵尸网络程序,主要功能模块:广告插件、竞品清除、剪贴板劫持器、DDos、下发载荷、挖矿、窃密木马。

Lilith BotNet Builder

300~1400

Lilith僵尸网络程序构建器。

Merlynn Clipper

2021109日预售,

20211021日发布

29~99

Merlynn剪贴板劫持器,主要功能为将剪贴板中的10种电子货币的钱包地址替换为攻击者预设的地址。

Merlynn Clipper Builder

59~199

Merlynn剪贴板劫持器构建器。

Trinity Miner

2021112

29~99

Trinity挖矿木马,可用其挖取门罗币。

Trinity Miner Builder

59~199

Trinity挖矿木马构建器。

6.总结


目前,此类在利益驱使下形成的市场化的商业窃密木马已经形成了一条完整的窃密产业链。在市场竞争环境下,Jester Stealer窃密木马快速更新迭代,不断增加新的窃密功能,在短时间内具备了较为成熟的窃密回传能力,给用户带来隐私泄露、经济损失等严重后果。

Jester Stealer黑客团伙作为商业窃密木马产业链的上游,即窃密木马编写者,负责完成窃密木马程序的设计、开发和测试,并对窃密木马程序进行维护更新。但从该团伙开发剪贴板劫持器、挖矿木马、僵尸网络等多种不同类型的恶意软件可以看出,专职窃密攻击者的选择已经从单纯的窃取数据获利转变为复合型的获利方式,包括但不限于挖矿、劫持钱包等方式。

安天CERT始终关注窃密木马、剪贴板劫持器等恶意代码的相关技术变化和特点,提出对应的解决方案,并部署到安全产品中。安天智甲不仅提供了病毒查杀、主动防御等基础功能,还提供了终端管控、网络管控等加强能力,能够有效防御此类威胁攻击,保障用户数据安全。

7.IoCs


9760B3E37006E0F3EDDE69F9A92C535A

A09C37144CA538B0BC4499BF59C691F1

EEC41C39511EE00773A1E8114AC34E70

参考资料


[1] 商业窃密木马综合分析报告
https://www.antiy.cn/research/notice&report/research_report/20220316.html