ZarazaBot窃取浏览器密码样本分析

一、样本标签

标签名	描述
原始⽂件名	ISBEW64.exe
MD5	41d5fda21cf991734793df190ff078ba
⽂件⼤⼩	296.50 KB (303616 bytes)
⽂件格式	PE64
加壳类型	无
编译语⾔	.NET
SHA-1	b50a8e2a7998e17286d2e18d1cf3f7e4e84482c6
SHA-256	2cb42e07dbdfb0227213c50af87b2594ce96889fe623dbd73d228e46572f0125
开源报告	https://www.uptycs.com/blog/zaraza-bot-credential-password-stealer

二、详细分析

样本(41d5fda21cf991734793df190ff078ba)运行时获取受害者计算机的用户名，然后在%TEMP%目录中使用该名称创建一个新的子文件夹。

通过telegramBot的api将计算机用户名上传。

然后尝试枚举计算机中存在的浏览器目录。从网络浏览器中提取登录凭据并将其保存在名为%TEMP%\output.txt的文件中。

360 Browser	Chromium | SRWare	Iridium Browser	Sleipnir 6
7Star	Iron Browser	Kinza	Slimjet
Amigo	Citrio	Kometa	Sputnik
AVAST Software	CocCoc	Liebao Browser	Torch Browser
AVG Browser	Comodo Dragon	Opera	uCozMedia
Brave Browser	CoolNovo	Opera GX	URBrowser
CCleaner	Coowon	Opera Neon	Vivaldi
CentBrowser	Edge Chromium (Microsoft Edge)	Orbitum	Yandex
Chedot	Elements Browser	QIP Surf
Chrome	Epic Privacy Browser	SalamWeb

览器使用的 SQLite 数据库格式包含一个名为“Login Data”；它包括一个“logins”数据库表。该表存储各种网站的登录详细信息，并包含如下字段：

文件夹	说明
origin_url	网站的主要链接
action_url	站点的登录链接
username_element	网站上的用户名字段
username_value	用于登录的用户名
password_element	网站上的密码字段
password_value	用于登录的加密密码
date_created	数据存储的日期
times_used	密码被使用了多少次
blacklisted_by_user	如果永远不应存储密码，则标志设置为 1

但样本仅检索到三个关键数据库详细信息：origin_url、username_value和password_value。鉴于密码字段以加密格式存储，攻击者必须检查两个特定的内容才能检索密码。

较新的浏览器版本使用 v80 密码签名。从 v10 或 v11 开始，它使用基于主密钥的加密来安全地存储用户的 Web 登录密码。使用WinApi(“CryptProtectData”)进一步保护加密密码。 为了识别加密密钥，在字符串的开头插入签名 DPAPI。然后使用 Base64 对加密密钥进行编码，并保存在位于用户数据文件夹中的本地状态文件中。

然后把窃取到的密码保存到%TEMP%\output.txt的文件中。

再调用telegramBot的api将ouput.txt文件上传，并以Passwords.txt保存到服务器上。

最后将当前屏幕进行截取后保存到%TEMP%\Screen.jpg中。

同样也上传到到服务器中，保存名为Screen.jpg.

最后删除窃取到的文件。

三、IOC

MD5：

41d5fda21cf991734793df190ff078ba

URL:

hxxps://api.telegram.org/bot6007402729:AAEPb0k0ec_Eid2gxzweSWuNju-dWhHicS0/sendDocument?chat_id=5881556974
hxxps://api.telegram.org/bot6007402729:AAEPb0k0ec_Eid2gxzweSWuNju-dWhHicS0/sendMessage?chat_id=5881556974