事件描述
近日,亚信安全捕获了一款仿冒Word文档的木马病毒FakeWord,该病毒将自身放置在具有系统以及隐藏属性的文件夹中,伪装成Word文档的快捷方式,利用社会工程学诱导用户启动自身。自身运行后会释放并打开正常的“简历”Word文档来迷惑用户,在打开“简历”文档的同时,其会继续释放并运行第二阶段木马。第二阶段木马运行后会解密出恶意Dll,并将Dll注入到正常程序中,然后调用Dll中的导出函数在被注入的程序中创建远程线程。最终,在被注入的进程中运行CSBeacon。目前亚信安全最新病毒码版本和DDAN沙盒平台已支持检测!
攻击流程
亚信安全产品解决方案
√亚信安全病毒码版本17..60,云病毒码版本17..71,全球码版本17..00已经可以检测,请用户及时升级病毒码版本。
√亚信安全DDAN沙盒平台已经可以检测。
病毒详细分析
恶意快捷方式
Target:C:\Windows\explorer.exe".__MACOSX\XXX-前端开发.exe"
该病毒将自身放置在具有系统以及隐藏属性的文件夹中:
XXX-前端开发.exe分析
运行后释放正常Word文档:
打开Word文档后,释放第二阶段木马:
运行第二阶段木马:
二阶段木马resume.exe分析
该木马具有反调试功能:
其运行后会解密出恶意BeaconDll:
接下来,该样本进行反射式Dll注入:
通过Virustotal我们可以查看该恶意Dll检测信息:
该样本外联如下