当前位置:

谨防数据泄露!“即刻PDF阅读器”内置后门收集用户隐私 / 教程资讯

1月前 阅读 / 1163 来源 / 转载 文 / 火绒

近期,火绒安全团队发现“即刻PDF阅读器”内置后门程序,该后门程序会在用户不知情的情况下,从C&C服务器上下载恶意配置文件,再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息,如:QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。

近期,火绒安全团队发现“即刻PDF阅读器”内置后门程序,该后门程序会在用户不知情的情况下,从C&C服务器上下载恶意配置文件,再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息,如:QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。


以下为火绒详细报告:


通过对其代码和功能进行对比、溯源发现,该病毒和2020年就被火绒安全曝光的“起点PDF阅读器”、“新速压缩”等软件存在同源性(详见《多款软件内置后门程序 可监视并肆意操控用户电脑》),并且其同源样本已经多次被火绒发现并查杀。

Image-0.png

病毒查杀图

 

 


该病毒作者通过开发类似上述软件并内置后门程序来收集用户个人隐私数据已长达数年。通过“即刻PDF阅读器”安装包的数字签名,可以得知该软件由深圳市重诚远顺科技有限公司开发,相关信息如下图所示:

 


Image-1.png

即刻PDF阅读器安装包数字签名

 

 


经企业信息检索核实,可确认“即刻PDF阅读器”为该公司所开发软件,相关备案和软件著作权信息如下图所示:

 


Image-2.png

其网站备案、软件著作权信息

 

 


该病毒具有极高的隐蔽性:向C&C服务器请求恶意模块时,C&C服务器会根据用户的地理位置等信息进行下发配置,让安全人员取证过程变得困难。火绒工程师帮助用户处理该病毒问题时,发现该病毒还会通过注册表回调来禁止软件的驱动加载。在即刻PDF阅读器目录下,还发现多个被加密的恶意模块,在此次取证过程中,只获取到收集个人隐私信息相关的恶意模块,不排除其后续下发更多恶意模块的可能性。即刻PDF软件目录下大部分可执行文件都携带恶意功能如: JiKeSteor.exeJiKeHcores.exeJiKeIterh.exeJikeMrong.exe等可执行文件,以下分析以JikeSteor.exe为例,病毒执行流程图如下所示:

Image-3.png

病毒执行流程图

 

 

样本分析

JiKeSteor.exe恶意模块会根据云控配置信息来下载任意恶意模块。恶意模块通过多层解密、加载的方式来躲避杀毒软件的查杀,还会检测用户电脑上的安全软件,相关代码,如下图所示:

 


Image-4.png

检测安全软件

 

 


被检测的安全软件列表,如下图所示:


企业微信截图_16608896865376.png

被检测的安全软件

 

 


向服务器请求配置文件,相关代码,如下图所示:

 


Image-6.png

下载配置文件

 

 


解密后的文件内容,如下图所示:

 

Image-7.png

解密后的文件内容

 

 


根据配置文件的内容下载、加载恶意模块b024b1ac2de.dll,相关代码,如下图所示:

 


Image-8.png

下载、加载恶意模块

 

 


b024b1ac2de.dll被加载之后,会从资源中解密恶意模块a74746.dll,相关代码,如下图所示:

 

Image-9.png

加载资源中的a74746.dll模块

 

 


a74746.dll模块中会收集用户的各种隐私数据如:谷歌、百度、淘宝、京东、天猫等网站的搜索内容、系统进程信息、当前活跃的窗口标题等隐私数据。收集用户系统的进程信息,相关代码,如下图所示:

 


Image-10.png

获取当前进程信息

 

 

 


将进程相关信息上传至C&C服务器,相关代码,如下图所示:


Image-11.png

上传用户进程信息

 

 


收集当前活动窗口标题并上传至C&C服务器,相关代码,如下图所示:

Image-12.png

获取当前活动窗口标题并上传至C&C服务器

 

 


从各个浏览器的历史记录数据库中获取谷歌、百度、淘宝、京东、天猫等搜索内容信息,以360安全浏览器为例,定位浏览器数据库文件,相关代码,如下图所示:

Image-13.png

定位数据库文件

 

 


使用SQL语句在数据库文件中搜索历史信息,相关代码,如下图所示:

Image-14.png

搜索的信息

 


Image-15.png

SQL语句搜索指定记录

 

 


将收集到的信息,上传至C&C服务器,相关代码,如下图所示:

Image-16.png

上传浏览器历史记录数据

 

 


涉及到的相关浏览器列表,如下图所示:

Image-17.png

涉及浏览器列表

 

 

<p style="margin-top: 0px;margin-bottom: 0px;margin-left: 32px;padding: 0px;outline: 0px;text-size-adjust: none;line-height: 30px;c

10

评论列表
共0条评论
  • 这篇文章还没有收到评论,赶紧来抢沙发吧~

猜你喜欢