400电话
微信咨询
加入我们
咨询时间: 9:30-18:30
400-998-3555
感谢您访问本站!我们检测到您当前使用的是 IE 浏览器。由于微软已正式终止对 IE 浏览器的技术支持,本站现已不再兼容该浏览器,可能会导致页面显示异常或功能无法使用。为了获得最佳体验,建议您:使用 Chrome、Edge、Firefox 等现代浏览器访问。
x

银狐也想来世界杯分一杯羹?新家族开始为“菠菜”平台增设广告位!

  • 作者:火绒安全

  • 发布时间:2026-07-13

  • 阅读量:1079

一、概括

近期,火绒安全实验室在监测网络安全过程中发现了异常情况。经过溯源与技术分析,这是银狐黑产使用新的样本针对中国国内用户。伪装为压缩包、视频剪辑、Microsoft商店等应用的安装软件的投毒。

银狐组织在本次攻击中,与以往不同的点在于,恶意代码的设计是以插件的形式加载。这就导致灵活多变的组合,本次下载获取的插件是一个有关于世界杯广告弹窗投递的插件(涉及赌球“菠菜”等)。

该样本在保持后门一直存在的情况下,窃取用户信息,控制用户电脑。可以以插件的形式多次为用户安装其他软件包括但不限于弹窗广告软件。

目前火绒安全产品已经实现对该行为的拦截与查杀。


查杀图.png

查杀图


二、运行流程


流程图.png

流程图


三、样本分析

本篇文章提到的4个样本基本相同,后续详细内容只针对1个样本进行描述。不对其他样本进行过多赘述。

执行初始化

Rust启动器

通过多项检测环境来检验该程序是否被调试或者在沙箱、虚拟机等环境。


通过多项检测环境来检验该程序是否被调试或者在沙箱、虚拟机等环境。.png


通过AES算法解密将要释放的3个载荷,首先通过异或算法解密得到文件名称Cache.pmt。后续通过AES解密得到载荷释放到路径C:\Program\CalendarSync\Cache.pmt下。


通过AES算法解密将要释放的3个载荷.png


最终通过CreateProcessW函数来启动CalendarSync.exe程序。


最终通过CreateProcessW函数来启动CalendarSync.exe程序。.png


加载载荷MasMIX32.dl分析

恶意MasMIX32.dll首先会通过异或0x37解密得到Cache.pmt的名称,通过hash获取读取文件api函数的地址。


通过hash获取读取文件api函数的地址。.png


然后通过自定义RC4算法+RtlDecompressBuffer组合解密下一阶段Shellcode。RC4密钥B734BF22E076BDB05AAF549038D4E5F1。


RC4密钥B734BF22E076BDB05AAF549038D4E5F1。.png


最后通过反射dll在自身申请内存,运行在自身内存中。


最后通过反射dll在自身申请内存,运行在自身内存中。.png


注入载荷Cache.pmt分析

由于该文件使用了大量混淆,包括控制流扁平化,不透明谓词,花指令,以及轻量级的VMP混淆。代码阅读效果就由作者构造伪代码来解释。

主要的执行逻辑为,创建互斥体->COM初始化->提权->注入->写入注册表->篡改IP路由表。


篡改IP路由表。.png


互斥体模块,创建互斥体Global\{CFE43A7D-B0E3-40E9-9919-13DEE7900CF8}


创建互斥体Global.png


提权模块,通过多个api的连续调用达到提权的目的。


提权模块,通过多个api的连续调用达到提权的目的。.png



创建注册表,写入注册表中是加密的。解密后的结构如下:

  1. 文件路径

  2. 服务名称1

  3. 服务名称2

  4. 加密的下一阶段dll文件。


创建注册表,写入注册表中是加密的。.png


劫持网关,通过修改ip路由表来达到劫持网关的目的。


劫持网关,通过修改ip路由表来达到劫持网关的目的。.png


共享内存注入,通过NtMapViewOfSection等api调用链,为创建的TieringEngineService.exe创建共享内存。挂起线程修改eip恢复线程启动。


挂起线程修改eip恢复线程启动。.png


注入载荷2 - TieringEngineService.exe分析

注入载荷2是最终功能调度的前一级。在TieringEngineService.exe中运行。主要功能为循环读取注册表值HKLM\SOFTWARE\Microsoft\Tracing\choco_RASAPICS注入进程backgroundTaskHost.exe程序。


注入载荷2是最终功能调度的前一级。.png


通过进程镂空的方式,挂起的方式启动backgroundTaskHost.exe程序,注入,恢复线程。


通过进程镂空的方式,挂起的方式启动backgroundTaskHost.exe程序,注入,恢复线程。.png


回传数据与插件安装

最终载荷-backgroundTaskHost.exe分析

最终载荷通过死循环一直与gawdkl.fit保持连接。

最终载荷通过死循环一直与gawdkl.fit保持连接。.png


功能调度涉及到的指令非常多。后续插件的安装都是通过指令完成。


功能调度涉及到的指令非常多。后续插件的安装都是通过指令完成。.png


总计80条指令,有效指令为41条。下方按照功能归类指令。归类五大类分别对应:

  1. 基础控制与信息采集

  2. 远程控制

  3. 进程与系统管理

  4. 多媒体操作

  5. 插件系统

表格1.png

表格2.png

表格3.png


在测试期间得到指令顺序为

在测试期间得到指令顺序为.png


插件安装接收回来的数据写入在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\choco_crm\ID\Bin32。通过解密实际上是下载者。每30分钟下载一次。


每30分钟下载一次。.png


最后从https://s3.ap-east-1.amazonaws.com/0xdadb0d80178819f2319190d340ce9a924f783711/PopAD.exe下载回该广告弹窗软件并执行。

下载回该广告弹窗软件并执行。.png


同时还有验证文件PopAD.exe.meta文本,该文本记录更新时间是否正确。这也是判断该软件时效性的依据之一。Wed, 01 Jul 2026 15:08:37 GMT对应北京时间2026年7月1日23:08:37。


同时还有验证文件PopAD.exe.meta文本.png


弹窗广告PopAd.exe

通知上线的C2以明文的形式存在https://dnyk123.xyz/boot与api token用于服务器验证QHf1GHeq3zV-6pTPsCRwYpJpMyMyspNdaA059i3WpIk。


通知上线的C2以明文的形式存在.png


拉取在线弹窗广告配置是以浮点寄存器存储拼接而成,https://www.167badaeayn.com/file/sindata

拉取在线弹窗广告配置是以浮点寄存器存储拼接而成.png


通知上线时会系统信息采集发送回客户端,包括UUID、硬件配置文件 GUID、计算机名、Windows 产品名、NT Build 号、用户区域语言、广告标识符、是否点击 (0/1)、自身版本。发送至https://dnyk123.xyz/boot

通知上线时会系统信息采集发送回客户端.png


创建进程互斥锁Global\\PopAD-{21A392EE-DEB5-4CF7-88A8-9568C8361800}


创建进程互斥锁.png


从https://www.167badaeayn.com/file/sindata下载相关配置数据至内存全程不落地,在内存中运行,解压相关配置信息,包括广告频率,广告指向url等信息。

广告指向url等信息。.png


获取的数据。

数据解读:素材存放于0xdadb0d80178819f2319190d340ce9a924f783711.s3.ap-east-1.amazonaws.com/skins/skin.dat

推广目标mtylive.com

弹窗事件:第一次5-6分钟弹出,后续3小时间隔弹出。



弹窗事件:第一次5-6分钟弹出,后续3小时间隔弹出。.png


右下角弹窗信息


右下角弹窗信息.png


点击该弹窗跳转的页面。观看世界杯并且赌球“菠菜”相关。


点击该弹窗跳转的页面。观看世界杯并且赌球“菠菜”相关。.png


四、总结说明

伪装的软件wenhan1的图标属于7Z解压软件,mulu的图标是BS Studio一款视频录制和视频实时交流的图标。StoreInstaller的图标是Microsoft商店的图标。


StoreInstaller的图标是Microsoft商店的图标。.png


即使没安装火绒的朋友,也为大家提供手动查杀方式:

文件目录1:C:\ProgramData\xxxx\Cache.pmt 文件大小约8694kb

文件目录2:C:\ProgramData\xxxx\xxxx.exe 文件大小任意即可

文件目录3:C:\ProgramData\xxxx\xxxx.dll 文件大小约106kb

注册表目录1:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\choco_crm

注册表目录2:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\choco_RASAPICS

文件目录1、2、3为同一目录。

xxxx代表随机字符串,长度不固定。满足3个文件目录+任意注册表目录就代表已被感染。

下方给一个验证是否感染的截图供大家参考,其中可能会添加一些其他格式的配置文件config.json config.toml都无实际意义,是为了让整体文件夹看着更真实,更贴近正常软件。


更贴近正常软件。.png

更贴近正常软件。2.png


注:如果需要注册表解密脚本请关注火绒安全微信公众号,对接工作人员索要


五、IOC信息

Md5:

3db3678944d709bc08530b411c83ed5e

182861b5207152e067f94eeed4f1face

ab110ee1f64b9ce1c00c6dc5a3879b85

cb980b731cd5dc476435750d758790bf


C2:

银狐相关:

gawdkl.fit

广告相关:

mtylive.com

dnyk123.xyz

167badaeayn.com

0xdadb0d80178819f2319190d340ce9a924f783711.s3.ap-east-1.amazonaws.com

安全无忧,一键开启

全面提升您的系统防护