【安全资讯】黑产组织利用数字货币交流群投递Farfli木马

猎影实验室 2021-05-07 08:41:50 2168人浏览

受近期比特币暴涨的影响，越来越多的用户涌入到了数字货币圈中，同时，研究人员发现多个数字货币交流群中均出现了木马文件，这是一个在Telegram活跃了多年的黑产家族。恶意样本执行之后，会在内存中解密Farfli远控木马并在内存中反射加载，加载过程中无后续文件落地。目前，已发现有普通用户遭到感染。

诱饵分析

以Telegram中某数字货币群聊为例，只是3月17日一天就有数十个诱饵文档，诱饵文档大多数以裸聊视频、新冠疫情、货币投资、酒店偷拍、校园暴力、猎奇视频、博彩揭秘、跨国诈骗等为话题，部分话题内容如下图所示。投递的木马均为Farfli远控木马，文件类型主要为：压缩打包的PE、bat、cmd等（文件均已重命名）。

加载器分析

Farfli是一种运行于Windows系统的木马程序，该恶意代码通过创建服务方式自启。受此恶意代码感染的计算机可以被用作DDoS攻击。Farfli家族木马可实现对受害者设备进行文件管理、键盘记录、远程桌面控制、系统管理、视频查看、语音监听、远程定位等远程操纵的高威胁功能。

关联分析

对本次捕获的其他样本进行分析，可知样本只是外层loader有所不同，加载的dll均为Farfli远控木马，这些样本请求C2相同：ssy.skt-one.com，只是创建的服务名有所不同。

总结

本次捕获的恶意样本所对应的家族是一个长期活跃在Telegram群聊中的网络犯罪团伙，该团伙能够很快加入到新用户较多的群聊中并投递多个话题相关的诱饵文件。建议用户不要在任何群聊中下载/运行陌生人发送的文件，不要接收任何陌生人私聊的文件，并及时更新病毒库以查杀此类恶意样本的最新变种。另外，企业用户可以建设态势感知，完善资产管理及持续监控能力，并积极引入威胁情报等产品，以提高多维度防御的能力。

失陷指标（IOC）29