黑客主动和你聊天的Mallox勒索病毒

　　＂TargetCompany＂是一种勒索软件，于2021年6月首次被发现。研究人员将其命名为TargetCompany勒索软件，因为它将目标公司名称作为文件扩展名添加到加密文件中。2022年9月，研究人员发现了一个针对微软SQL服务器的TargetCompany勒索软件变种，并用＂Fargo＂作为加密文件的扩展名。众所周知，TargetCompany勒索软件还会在加密文件后添加＂Mallox＂扩展名。
　　不过有趣的是 ，感染病毒后，勒索信还包含一个私人聊天链接，供受害者与威胁行为者连接。聊天页面包含的信息，如TargetID，硬盘大小，支付详情等。黑客还在聊天页面中为受害者提供了上传加密样本以测试解密的功能
　　安全研究人员最近观察到Mallox勒索软件样本的激增。下图显示了Mallox勒索软件样本传播情况的统计数据，该数据表明勒索软件在最近几周是活跃的传播迅速的并且感染了很多用户。
　　这些Mallox勒索软件样本由定制的加载程序下载并加载。加载程序会从远程服务器下载Mallox勒索软件，并加密受害者机器中的文件。此外，该勒索软件组织还维护了一个公布受害者泄露信息的站点，其中包含与勒索软件攻击受害者有关的信息。下图显示了Mallox勒索软件的站点信息
　　技术分析
　　加载器
　　这个未知的基于.net的加载器用于下载Mallox勒索软件。研究表明，该加载程序会下载其他恶意软件家族，如Agentesla, Remcos, Snake keylogger等。这个加载器通常通过不同类型的垃圾邮件来传播，以引诱用户下载并执行电子邮件附件。
　　加载器具有下载功能，会从远程服务器下载加密的恶意内容，在加载器内存中解密然后执行。加载程序在内存中执行恶意内容，而不将实际负载保存在磁盘中，以逃避反病毒检测。加载器下载带有文件扩展名(如png、jpeg或bmp)的加密有效载荷。
　　加载器是32位.net可执行文件，文件名为＂Cqasdqtamip.exe＂
　　Sha265为e3a0bbd623db2b865fc3520c8d05e8b92016af2e535f0808460295cb8435836a。其他详细信息如下图所示。
　　加载程序执行后，会从URL hxxp://80[.]66[.]75[.]98/Chseiyk.jpeg下载加密的恶意内容。
　　下图显示了硬编码的URL和下载文件的代码。
　　下载后加载器将加密的内容保存在内存中并解密它。恶意内容使用密钥＂Cwgoawrnxz＂通过AES加密算法加密，该密钥在加载程序的二进制文件中硬编码。下图显示了内存中的加密有效负载和解密密钥。
　　加载器现在解密负载后获得内存中的实际勒索软件二进制文件，并进一步执行该二进制文件以执行勒索软件活动。下图显示了内存中的解密勒索软件DLL文件
　　Mallox勒索软件有效载荷分析
　　下载并解密的文件是一个基于.net的32位DLL，名称为＂Wwxjdcapjnmuq.dll＂，sha256为
　　b64606198c158f79287b215343d286adf959e89acb054f8f3db706f3c06f48aa。
　　下图显示了其他详细信息
　　这个DLL文件被IntelliLock混淆器进一步混淆，使恶意软件逆向分析更加困难。加载程序现在使用assembly . load()函数将解密的勒索软件DLL作为程序集加载。
　　加载DLL后加载器从DLL文件中枚举方法，并从加载的程序集创建方法名称和对象列表。然后创建用于执行勒索软件代码的方法的线程池。下图显示了将DLL作为程序集加载的代码和创建用于执行勒索软件代码的方法列表和线程池
　　在创建线程池之后，加载器使用invokember()函数创建执行线程。下图显示了创建执行线程的代码
　　执行后，勒索软件将批处理文件axfiysgodtrlqmrgpchkiller .bat放入临时文件夹并执行它。此批处理文件将停止许多服务和程序，以便在加密过程中不中断对相关文件的加密操作。
　　批处理文件内容如下图所示
　　有趣的是，勒索软件还会停止gps相关程序，这表明勒索软件的目标可能是关键基础设施部门的组织。下图显示了停止运行gps相关程序的命令。
　　勒索软件会禁用一些服务，并停止系统中正在运行的程序。一些重要的服务和计划是:•数据库相关服务:MSSQL、MSSQL服务器、PostgreSQL、Oracle等。 备份相关服务:VSS、Veeam等 Windows相关程序:OneDrive, Excel, Outlook, WinWord等 文件共享与服务器相关程序:FileZilla FTP Server、Apache Tomcat Server、Microsoft Exchange Server、OpenSSH、WAMP Server、Nginx等 企业管理软件:SAP Business One、Jenkins、Redis、SVN Server、Turbo CRM、金蝶等 虚拟化程序和服务:VirtualBox, VMware。等。 GPS相关命令:GPSDaemon, GPSUserSvr, GPSDownSvr, GPSStorageSvr, GPSDataProcSvr, GPSGatewaySvr等
　　在加密文件之前，勒索软件会窃取系统信息，如操作系统版本、桌面名称等，并通过如下所示的POST请求将其发送到命令与控制(C&C)服务器。
　　勒索软件对加密文件附加＂.Mallox＂作为文件扩展名，并在文件夹中放置一个勒索通知，如下所示。
　　下图显示了在受害者系统上投放的赎金通知
　　勒索信还包含一个私人聊天链接，供受害者与威胁行为者连接。聊天页面包含的信息，如TargetID，硬盘大小，支付详情等。
　　总结
　　在过去的几天里，我们观察到Mallox勒索软件组织的活动迹象有所增加。勒索软件组正在使用一个新的定制的加载程序，用于下载和执行勒索软件。此外，Mallox勒索软件执行后会试图停止与gps相关的服务，表明他们的目标可能是经营运营技术和关键基础设施的组织。
　　IOCs
　　Indicators
　　Indicato   r   Type
　　Descriptio   n
　　2456c01f5348e5c08f7e818d51862c1a   625be3e4dbfb0bd35c9cda216a9bca7232dbec07   34da973f1d154672b245f7a13e6268b4ffc88dea1ca608206b   32759ec5be040c
　　MD5 SHA1 SHA256 Mallox
　　Loader
　　b739be28cb9a30868112d4786bc11d37 296e19773f6fb7190d914ac556abe0125e5d7aa5 b3ccec8ca26bc3b6597ddb0424a455eb7809e7608f5d62f6c7 f5d757d4d32253
　　MD5 SHA1 SHA256
　　Chseiyk.jp eg Encrypted Payload
　　86344d7e6e5b371717313032632cbbe1   3921694be80b2fd5d8007c8155bee018c32fecbb   b64606198c158f79287b215343d286adf959e89acb054f8f3d   b706f3c06f48aa
　　MD5 SHA1 SHA256 Mallox
　　Payload
　　688e0b37794395cfecaf9cc519e3c26a, d215d4166dfa07be393459c99067319036eb80ba, 77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6 755d0dbd9f80a5
　　MD5 SHA1 SHA256Mallox
　　Loader
　　6080b540d975b7a4f66cd54ee83ed600   62324b38a5a5a2533f3bd401d7afd1c6c4235b08   89c9c14af6ab4f3f93705325dbc32bde6c232d26d22e8f835d   b24efc18007ea4
　　MD5 SHA1 SHA256 Mallox
　　Loader
　　2ffae162e07ba8debdf25694e8fd8325 a1289c3e585e091a7c8f89869a76e40f7e3880fd d691f44b587c6ed47c2d57b2bf99323877821a318cb0d5aa98 99c40a44e81ef3
　　MD5 SHA1 SHA256Mallox
　　Loader
　　cacbed12b83529ebb99b0297d52b0749   db6d67f55bce0425baef2348e70f1478d022820e   58726aac2652bedfe47b7e1c73ba39d028e2e6ad188f4ed73   5d614097be4a23b
　　MD5 SHA1 SHA256 Mallox
　　Loader
　　da3f02b82e982f5ce5a71d769a067f3b e165cac5ab2b2312f7ed8569c69a75bae48b8316 7164ba41639c8edcd9ff1cf41a806c9a23de566b56a7f34a02 05ba1f84575a48
　　MD5 SHA1 SHA256Mallox
　　Loader
　　38454291f7b871d71a512b5dd5100d9e   9e9c04f00822aacaa15d0bcc4749f8e6920d4550   45391bfbb06263f421ac739e1e4b438fb99a0757dcecc68de7   9b2dbe02c1641e
　　MD5 SHA1 SHA256 Mallox
　　Loader
　　7be2a76577f6ee05ec08c77c41cd9dd4 f3cfca7a2160559aa62b4cf42cd15870a4abcae7 87a923319c6ea74a9cef5ed7528afdbd4a05e7600ce7f4359e 5990ff8769a2ff
　　MD5 SHA1 SHA256Mallox
　　Loader
　　6e542eda455e8c8600df96874c8deceb   670530d36967c5927955d31052dff165a187c1f2   d755cd96077cebbed84a86e69d1fd84b95e3e5763abc8ac8e   c0a7f1df30e9585
　　MD5 SHA1 SHA256 Mallox
　　Loader
　　hxxp://80[.]66[.]75[.]98/Chseiyk.jpeg
　　URLMalicious
　　URL
　　hxxp://193[.]106[.]191[.]141/QWEwqdsvsf/ap.php
　　URL
　　Connected URL