謹防數據泄露!“即刻PDF閱讀器”內置后門收集用戶隱私
近期,火絨安全團隊發現“即刻PDF閱讀器”內置后門程序,該后門程序會在用戶不知情的情況下,從C&C服務器上下載惡意配置文件,再根據配置文件下載惡意模塊到用戶電腦中。目前發現該病毒會肆意收集用戶個人隱私信息,如:QQ號、淘寶昵稱、電商購物記錄、電商和搜索引擎搜索記錄等隱私數據。
通過對其代碼和功能進行對比、溯源發現,該病毒和2020年就被火絨安全曝光的“起點PDF閱讀器”、“新速壓縮”等軟件存在同源性,并且其同源樣本已經多次被火絨發現并查殺。
病毒查殺圖
該病毒作者通過開發類似上述軟件并內置后門程序來收集用戶個人隱私數據已長達數年。通過“即刻PDF閱讀器”安裝包的數字簽名,可以得知該軟件由深圳市重誠遠順科技有限公司開發,相關信息如下圖所示:
即刻PDF閱讀器安裝包數字簽名
經企業信息檢索核實,可確認“即刻PDF閱讀器”為該公司所開發軟件,相關備案和軟件著作權信息如下圖所示:
其網站備案、軟件著作權信息
樣本分析
該病毒具有極高的隱蔽性:向C&C服務器請求惡意模塊時,C&C服務器會根據用戶的地理位置等信息進行下發配置,讓安全人員取證過程變得困難。火絨工程師幫助用戶處理該病毒問題時,發現該病毒還會通過注冊表回調來禁止軟件的驅動加載。在即刻PDF閱讀器目錄下,還發現多個被加密的惡意模塊,在此次取證過程中,只獲取到收集個人隱私信息相關的惡意模塊,不排除其后續下發更多惡意模塊的可能性。即刻PDF軟件目錄下大部分可執行文件都攜帶惡意功能如:JiKeSteor.exe、JiKeHcores.exe、JiKeIterh.exe、JikeMrong.exe等可執行文件,以下分析以JikeSteor.exe為例,病毒執行流程圖如下所示:
病毒執行流程圖
JiKeSteor.exe惡意模塊會根據云控配置信息來下載任意惡意模塊。惡意模塊通過多層解密、加載的方式來躲避殺毒軟件的查殺,還會檢測用戶電腦上的安全軟件,相關代碼,如下圖所示:
檢測安全軟件
被檢測的安全軟件列表,如下圖所示:
被檢測的安全軟件
向服務器請求配置文件,相關代碼,如下圖所示:
下載配置文件
解密后的文件內容,如下圖所示:
解密后的文件內容
根據配置文件的內容下載、加載惡意模塊b024b1ac2de.dll,相關代碼,如下圖所示:
下載、加載惡意模塊
b024b1ac2de.dll被加載之后,會從資源中解密惡意模塊a74746.dll,相關代碼,如下圖所示:
加載資源中的a74746.dll模塊
在a74746.dll模塊中會收集用戶的各種隱私數據如:谷歌、百度、淘寶、京東、天貓等網站的搜索內容、系統進程信息、當前活躍的窗口標題等隱私數據。收集用戶系統的進程信息,相關代碼,如下圖所示:
獲取當前進程信息
將進程相關信息上傳至C&C服務器,相關代碼,如下圖所示:
上傳用戶進程信息
收集當前活動窗口標題并上傳至C&C服務器,相關代碼,如下圖所示:
獲取當前活動窗口標題并上傳至C&C服務器
從各個瀏覽器的歷史記錄數據庫中獲取谷歌、百度、淘寶、京東、天貓等搜索內容信息,以360安全瀏覽器為例,定位瀏覽器數據庫文件,相關代碼,如下圖所示:
定位數據庫文件
使用SQL語句在數據庫文件中搜索歷史信息,相關代碼,如下圖所示:
搜索的信息
SQL語句搜索指定記錄
將收集到的信息,上傳至C&C服務器,相關代碼,如下圖所示:
上傳瀏覽器歷史記錄數據
涉及到的相關瀏覽器列表,如下圖所示:
涉及瀏覽器列表
a74746.dll惡意模塊還會請求新的配置文件來帶參數運行JikeIterh.exe模塊來下載、解密執行新的惡意模塊WindowPop.dll,相關代碼,如下圖所示:
解密執行新的惡意模塊WindowPop.dll
在WindowPop.dll惡意模塊中會獲取各個瀏覽器的數據庫文件,從中獲取用戶淘寶昵稱;淘寶、天貓商店中瀏覽過物品ID等隱私信息后并通知C&C服務器,相關代碼,如下圖所示:
獲取淘寶相關信息,并通知C&C服務器
從瀏覽器的歷史記錄數據庫文件中獲取用戶瀏覽過商品ID,相關代碼,如下圖所示:
從瀏覽器history數據庫文件中獲取用戶瀏覽過商品ID
WindowPop.dll惡意模塊會根據一些游戲(英雄聯盟、地下城與勇士、穿越火線、天涯明月刀)的配置文件找到用戶的QQ賬號并通知C&C服務器,以英雄聯盟為例,相關代碼,如下圖所示:
收集QQ賬號并通知C&C服務器
WindowPop.dll惡意模塊會在后臺靜默安裝愛奇藝、酷狗、酷我等軟件,以酷我為例,相關代碼,如下圖所示:
后臺靜默安裝軟件
在WindowPop.dll惡意模塊中還會定期彈出廣告窗口,相關代碼,如下圖所示:
彈出廣告窗口
同源性分析
加載遠程惡意模塊代碼同源性對比,如下圖所示:
同源性對比
C&C服務器下發的配置文件對比,如下圖所示:
配置文件對比
附錄
C&C服務器:
病毒HASH:
