新的WiryJMPer Dropper在平原视线中隐藏Netwire RAT有效载荷

 
在使用隐藏在两个良性二进制文件之间的Netwire恶意负载的计算机感染计算机并使用模糊处理在大多数反恶意软件解决方案的雷达下飞行时，观察到一个新的恶意软件删除程序。
“WiryJMPer是一个看似普通的滴管，具有不寻常的混淆。它使用两个良好的二进制文件，多余的跳跃和死枝夹在二进制文件之间以隐藏其虚拟机，保护其Netwire有效载荷，”Avast研究人员AdolfStředa和Luigino Camastra发现。
NetWire(也称为Recam或NetWiredRC)是一种远程访问木马(RAT)，自2012年以来广泛使用，具有远程控制功能，专注于键盘记录和密码窃取，使攻击者能够获得未经授权的访问并远程控制受害者的计算机，许多其他的事情。
研究人员首先注意到装载机在观察到它用作前脸的ABBC Coin钱包二进制尺寸实际上是普通钱包的三倍。
它还带有其他警告标志，例如使用SoftwareOK开发的WinBin2Iso 3.16可执行文件中的字符串。事实上，WinBin2Iso是一个二进制图像转换器，而ABBC Coin是一种基于区块链的加密货币，这使得WiryJMPer二进制文件更加可疑。
在使用行为分析技术仔细研究的同时，Avast的研究人员发现，不同于ABBC Coin钱包的不寻常的二进制文件实际上是他们称为WiryJMPer的恶意软件。
基于堆栈的虚拟机
受害者的机器使用一种华而不实的方法来感染，尽管这种方法在后台显示程序窗口以分散用户的注意力，同时在背景中丢弃Netwire有效负载。
研究人员发现，“有效载荷的第一阶段无辜地显示为常规的WinBin2Iso二进制文件，其中包含可疑的.rsrc部分。” “JMP指令通常是循环处理窗口消息的一部分，跳转到.rsrc部分，在那里开始控制流的过山车。”
在下一步中，将显示一个无响应的WinBin2Iso窗口，该窗口几乎立即被新的ABBC Coin钱包窗口取代，这是研究人员在每次启动WiryJMPer时启动时注意到的行为。
“控制流混淆和低级代码抽象的结合使得对恶意软件工作流程的分析变得相当繁琐，”Avast的报告还补充道。
“此外，在分析过程中，我们发现混淆的加载程序在RC4密钥计划期间也使用了(可能的)自定义基于堆栈的虚拟机，这引起了我们更多的兴趣。”
WiryJMPer dropper还尝试通过在启动文件夹中添加指向其原始二进制文件的快捷方式来获取受损系统的持久性，并将其复制到%APPDATA%\ abbcdriver.exe。
分析的恶意软件样本总是使用相同的操作过程，“WinBin2Iso二进制修补以解压缩Netwire和另一个二进制文件”，通过诱饵有效负载导致合法的加密货币钱包。
“尽管恶意软件的功能并不是非常具有创新性，但它已经成功传播了一段时间，可能是由于模糊处理和相当低的普及率，”Avast研究人员总结道。
“相对较慢的诱饵设置显示多个窗口与不相关的标题可能对电力用户来说足够可疑，另一方面，提供’诱饵’二进制文件可能对普通用户来说足够安慰。”
IOC和之前的RAT活动
GitHub和Avast的WiryJMPer分析结束时，可以对此新恶意软件加载程序的高级概述以及包括恶意软件散列和Netwire C2服务器域的妥协指标(IOC)列表。
8月份奇虎360安全中心的安全研究也发现了Netwire RAT，同时通过针对酒店业的几个北美实体的malscam活动进行了分发。
今年3月，Fireeye的研究人员发现了一项网络钓鱼活动，通过使用进程空洞逃避检测注入合法的Microsoft可执行文件，从而提供了Netwire有效负载。
Netwire过去也被威胁参与者用于针对中东组织的支付处理器，ATM和交易处理系统的活动，通过2016年Proofpoint发现的鱼叉式网络钓鱼电子邮件[PDF]，以及收获支付卡根据SecureWorks的销售点系统的数据。