400电话
在线咨询
微信咨询
咨询时间: 9:30-18:30
400-998-3555

谨防数据泄露!“即刻PDF阅读器”内置后门收集用户隐私

  • 作者:火绒安全

  • 发布时间:2022-08-19

  • 阅读量:1266

近期,火绒安全团队发现“即刻PDF阅读器”内置后门程序,该后门程序会在用户不知情的情况下,从C&C服务器上下载恶意配置文件,再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息,如:QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。

 

通过对其代码和功能进行对比、溯源发现,该病毒和2020年就被火绒安全曝光的“起点PDF阅读器”、“新速压缩”等软件存在同源性(详见《多款软件内置后门程序 可监视并肆意操控用户电脑》),并且其同源样本已经多次被火绒发现并查杀。

Image-0.png

病毒查杀图

 

 

该病毒作者通过开发类似上述软件并内置后门程序来收集用户个人隐私数据已长达数年。通过“即刻PDF阅读器”安装包的数字签名,可以得知该软件由深圳市重诚远顺科技有限公司开发,相关信息如下图所示:

 

Image-1.png

即刻PDF阅读器安装包数字签名

 

 

经企业信息检索核实,可确认“即刻PDF阅读器”为该公司所开发软件,相关备案和软件著作权信息如下图所示:

 

Image-2.png

其网站备案、软件著作权信息

 

 

该病毒具有极高的隐蔽性:向C&C服务器请求恶意模块时,C&C服务器会根据用户的地理位置等信息进行下发配置,让安全人员取证过程变得困难。火绒工程师帮助用户处理该病毒问题时,发现该病毒还会通过注册表回调来禁止软件的驱动加载。在即刻PDF阅读器目录下,还发现多个被加密的恶意模块,在此次取证过程中,只获取到收集个人隐私信息相关的恶意模块,不排除其后续下发更多恶意模块的可能性。即刻PDF软件目录下大部分可执行文件都携带恶意功能如: JiKeSteor.exeJiKeHcores.exeJiKeIterh.exeJikeMrong.exe等可执行文件,以下分析以JikeSteor.exe为例,病毒执行流程图如下所示:

Image-3.png

病毒执行流程图

 

 

样本分析

JiKeSteor.exe恶意模块会根据云控配置信息来下载任意恶意模块。恶意模块通过多层解密、加载的方式来躲避杀毒软件的查杀,还会检测用户电脑上的安全软件,相关代码,如下图所示:

 

Image-4.png

检测安全软件

 

 

被检测的安全软件列表,如下图所示:

企业微信截图_16608896865376.png

被检测的安全软件

 

 

向服务器请求配置文件,相关代码,如下图所示:

 

Image-6.png

下载配置文件

 

 

解密后的文件内容,如下图所示:

 

Image-7.png

解密后的文件内容

 

 

根据配置文件的内容下载、加载恶意模块b024b1ac2de.dll,相关代码,如下图所示:

 

Image-8.png

下载、加载恶意模块

 

 

b024b1ac2de.dll被加载之后,会从资源中解密恶意模块a74746.dll,相关代码,如下图所示:

 

Image-9.png

加载资源中的a74746.dll模块

 

 

a74746.dll模块中会收集用户的各种隐私数据如:谷歌、百度、淘宝、京东、天猫等网站的搜索内容、系统进程信息、当前活跃的窗口标题等隐私数据。收集用户系统的进程信息,相关代码,如下图所示:

 

Image-10.png

获取当前进程信息

 

 

 

将进程相关信息上传至C&C服务器,相关代码,如下图所示:

Image-11.png

上传用户进程信息

 

 

收集当前活动窗口标题并上传至C&C服务器,相关代码,如下图所示:

Image-12.png

获取当前活动窗口标题并上传至C&C服务器

 

 

从各个浏览器的历史记录数据库中获取谷歌、百度、淘宝、京东、天猫等搜索内容信息,以360安全浏览器为例,定位浏览器数据库文件,相关代码,如下图所示:

Image-13.png

定位数据库文件

 

 

使用SQL语句在数据库文件中搜索历史信息,相关代码,如下图所示:

Image-14.png

搜索的信息

 

Image-15.png

SQL语句搜索指定记录

 

 

将收集到的信息,上传至C&C服务器,相关代码,如下图所示:

Image-16.png

上传浏览器历史记录数据

 

 

涉及到的相关浏览器列表,如下图所示:

Image-17.png

涉及浏览器列表

 

 

 

a74746.dll恶意模块还会请求新的配置文件来带参数运行 JikeIterh.exe模块来下载、解密执行新的恶意模块WindowPop.dll,相关代码,如下图所示:

 

Image-18.png

解密执行新的恶意模块WindowPop.dll

 

 

WindowPop.dll恶意模块中会获取各个浏览器的数据库文件,从中获取用户淘宝昵称;淘宝、天猫商店中浏览过物品ID等隐私信息后并通知C&C服务器,相关代码,如下图所示:

 

Image-19.png

获取淘宝相关信息,并通知C&C服务器

 

 

 

从浏览器的历史记录数据库文件中获取用户浏览过商品ID,相关代码,如下图所示:

 

Image-20.png

从浏览器history数据库文件中获取用户浏览过商品ID

 

 

WindowPop.dll恶意模块会根据一些游戏(英雄联盟、地下城与勇士、穿越火线、天涯明月刀)的配置文件找到用户的QQ账号并通知C&C服务器,以英雄联盟为例,相关代码,如下图所示:

 

Image-21.png

收集QQ账号并通知C&C服务器

 

 

 

WindowPop.dll恶意模块会在后台静默安装爱奇艺、酷狗、酷我等软件,以酷我为例,相关代码,如下图所示:

 

Image-22.png

后台静默安装软件

 

 

WindowPop.dll恶意模块中还会定期弹出广告窗口,相关代码,如下图所示:

Image-23.png

弹出广告窗口

 

 

 

同源性分析

加载远程恶意模块代码同源性对比,如下图所示:

Image-24.png

同源性对比

 

 

C&C服务器下发的配置文件对比,如下图所示:

Image-25.png

配置文件对比

 

 

附录

 

 

 

C&C服务器:

 

Image-26.png

 

病毒HASH

Image-27.png

 

安全无忧,一键开启

全面提升您的系统防护