新闻快讯
< >

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马

0×1 概况

自2009年比特币面世后,短短8年时间,虚拟币市场涌现出数十种基于区块链技术的虚拟币,催生了“炒币热”。虚拟币通过消耗计算机计算力来产生钱币,面对万亿市值的虚拟币市场,不少不法分子动起了坏心思,“前仆后继”地踏上不一样的挖矿之路。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

近日,腾讯安全反病毒实验室监测到一异常流量,通过分析发现是一款名为”Webfreer”的翻墙浏览器存在猫腻。该浏览器在用户不知情的情况下,悄悄启动挖矿程序进行挖矿(主要是比特币和门罗币),使中毒机器变得异常卡慢,出现网速变慢等症状。Webfreer浏览器通过官网(www.webfreer.com)、软件下载站和社交渠道进行传播,目前已有数万个用户受影响,且挖矿涉及金额高达百万人民币!

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

0×2 样本分析

Webfreer是一款基于chromium开源项目进行开发的浏览器,不法分子通过插入恶意代码,然后重新编译生成木马程序。由于开源项目的原因,该类木马程序容易被杀毒软件判白。此外,Webfreer作为一款翻墙浏览器,内置VPN代理,正常网络流量和恶意流量交叉混合,使得该木马隐藏性极高。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

(VT查杀—几乎没有引擎报毒)

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

Webfreer最早的版本没有后门,但在后期升级版本中,开始插入了恶意代码,插入的恶意代码比较简单,没有云控,主程序启动后,挖矿程序随之起来。

版本是否有后门
Webfreer 1.0.0.0无后门
Webfreer 1.1.1.1有后门,挖比特币,2014年开始传播
Webfreer 1.3.2.0(最新)有后门,挖门罗币,2017年开始传播

下面对安装包进行解压,对比各个版本的文件,红框表示是木马样本。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

挖矿执行流程图:

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

1、Webfreer 1.1.1.1分析:

病毒样本:

chrome.dll:浏览器主dll模块,会拉起webproxy.exe

webproxy.exe:挖矿程序

1) 安装时,会创建自启动项,开机时启动主程序Webfreer.exe。

2) Webfreer.exe启动时,会加载chrome.dll。

3) chrome.dll主线程会创建一个定时器,目的是不断地拉起挖矿进程。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

4) 检测是否存在”WebClientService”服务,保证只有一个挖矿实例,因为在其它版本中,挖矿程序是会创建一个名为”WebClientService”服务进行挖矿,后面会有涉及。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

5) 创建webproxy进程开始挖矿,挖矿使用stratum挖矿协议,传入挖矿参数,如矿池、钱包信息等。

挖矿参数:

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

调用CreateProcess创建进程:

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

2、Webfreer 1.3.2.0分析:

病毒样本:

WebClientService.exe:服务程序,开机启动,拉起webproxy.exe

webproxy.exe:挖矿程序

1) 安装时,会在system32目录释放WebClientService.exe和webproxy.exe。

2) 安装完成后,安装包程序会启动WebClientService.exe进程。

3) WebClientService注册一个服务,开机自启动。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

4) 调用CreateEvent创建事件,保证只有一个实例在运行。

5) 访问google网站来测试浏览器是否正常工作,如果无法访问,继续等待。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

6) 在system32目录或Webfreer安装目录得到webproxy.exe的路径,调用CreateProcess创建进程,开始挖矿。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

7) 同时起一条线程,不断检测webproxy.exe进程是已经退出,如果退出了,再次拉起webproxy。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

0×3 溯源分析

上述分析得到两个地址。

1、比特币钱包地址:113vvkxZvZHuou7jGwTrDHa4EY7XUKBHbt

这个钱包总接收近50个比特币,以当前的比特币单价算,总值达到100多万人民币!

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

2、门罗币钱包地址:478WNYwHN4SQs8j89P8QJY4DKm2c6JhCQizi5ucjooKuFQirbtEsafJinSXLwZcysnN1L98r2vocKjGjKoXRrEiRGpmyErc

这个钱包共有12个门罗币,以当前的门罗币单价算,总值达到6000元人民币。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

3、通过溯源分析找到同源样本,如下,该样本伪装成shadowsocks翻墙软件,实际上纯粹是一个门罗币挖矿木马,推测作者可能偏爱在翻墙软件这个点上进行木马传播。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

4、官网www.webfreer.com 服务器IP在加拿大,该公司号称:Appaxy Inc(未证实是否已注册)。对官网进行whois分析,得到注册名为:Mi**ke,通过注册名反查到一个qq号,叫米高x,可疑程度比较高。

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿木马 -E安全

0×4 结语

“炒币热”催生了挖矿黑色产业链,看似正常的翻墙浏览器也暗藏猫腻,让人防不胜防。在巨大的利益诱惑下,不法分子的手段穷出不尽,用户平时应注意提高防范意识,养成良好的上网习惯,使用腾讯电脑管家拦截并查杀木马病毒。

文章来源:freebuf 原文地址:http://www.freebuf.com/news/148625.html