黑客主动和你聊天的Mallox勒索病毒

“TargetCompany”是一种勒索软件，于2021年6月首次被发现。研究人员将其命名为TargetCompany勒索软件，因为它将目标公司名称作为文件扩展名添加到加密文件中。2022年9月，研究人员发现了一个针对微软SQL服务器的TargetCompany勒索软件变种，并用“Fargo”作为加密文件的扩展名。众所周知，TargetCompany勒索软件还会在加密文件后添加“Mallox”扩展名。

不过有趣的是，感染病毒后，勒索信还包含一个私人聊天链接，供受害者与威胁行为者连接。聊天页面包含的信息，如TargetID，硬盘大小，支付详情等。黑客还在聊天页面中为受害者提供了上传加密样本以测试解密的功能

安全研究人员最近观察到Mallox勒索软件样本的激增。下图显示了Mallox勒索软件样本传播情况的统计数据，该数据表明勒索软件在最近几周是活跃的传播迅速的并且感染了很多用户。

这些Mallox勒索软件样本由定制的加载程序下载并加载。加载程序会从远程服务器下载Mallox勒索软件，并加密受害者机器中的文件。此外，该勒索软件组织还维护了一个公布受害者泄露信息的站点，其中包含与勒索软件攻击受害者有关的信息。下图显示了Mallox勒索软件的站点信息

技术分析

加载器

这个未知的基于.net的加载器用于下载Mallox勒索软件。研究表明，该加载程序会下载其他恶意软件家族，如Agentesla,Remcos,Snakekeylogger等。这个加载器通常通过不同类型的垃圾邮件来传播，以引诱用户下载并执行电子邮件附件。

加载器具有下载功能，会从远程服务器下载加密的恶意内容，在加载器内存中解密然后执行。加载程序在内存中执行恶意内容，而不将实际负载保存在磁盘中，以逃避反病毒检测。加载器下载带有文件扩展名(如png、jpeg或bmp)的加密有效载荷。

加载器是32位.net可执行文件，文件名为“”

Sha265为e3a0bbd623db2b865fc3520c8d05e8b92016af2e535f0808460295cb8435836a。其他详细信息如下图所示。

加载程序执行后，会从URLhxxp://80[.]66[.]75[.]98/下载加密的恶意内容。

下图显示了硬编码的URL和下载文件的代码。

下载后加载器将加密的内容保存在内存中并解密它。恶意内容使用密钥“Cwgoawrnxz”通过AES加密算法加密，该密钥在加载程序的二进制文件中硬编码。下图显示了内存中的加密有效负载和解密密钥。

加载器现在解密负载后获得内存中的实际勒索软件二进制文件，并进一步执行该二进制文件以执行勒索软件活动。下图显示了内存中的解密勒索软件DLL文件

Mallox勒索软件有效载荷分析

下载并解密的文件是一个基于.net的32位DLL，名称为“”，sha256为

b64606198c158f79287b215343d286adf959e89acb054f8f3db706f3c06f48aa。

下图显示了其他详细信息

这个DLL文件被IntelliLock混淆器进一步混淆，使恶意软件逆向分析更加困难。加载程序现在使用()函数将解密的勒索软件DLL作为程序集加载。

加载DLL后加载器从DLL文件中枚举方法，并从加载的程序集创建方法名称和对象列表。然后创建用于执行勒索软件代码的方法的线程池。下图显示了将DLL作为程序集加载的代码和创建用于执行勒索软件代码的方法列表和线程池

在创建线程池之后，加载器使用invokember()函数创建执行线程。下图显示了创建执行线程的代码

执行后，勒索软件将批处理文件放入临时文件夹并执行它。此批处理文件将停止许多服务和程序，以便在加密过程中不中断对相关文件的加密操作。

批处理文件内容如下图所示

有趣的是，勒索软件还会停止gps相关程序，这表明勒索软件的目标可能是关键基础设施部门的组织。下图显示了停止运行gps相关程序的命令。

勒索软件会禁用一些服务，并停止系统中正在运行的程序。一些重要的服务和计划是:•数据库相关服务:MSSQL、MSSQL服务器、PostgreSQL、Oracle等。

备份相关服务:VSS、Veeam等

Windows相关程序:OneDrive,Excel,Outlook,WinWord等

文件共享与服务器相关程序:FileZillaFTPServer、ApacheTomcatServer、MicrosoftExchangeServer、OpenSSH、WAMPServer、Nginx等

企业管理软件:SAPBusinessOne、Jenkins、Redis、SVNServer、TurboCRM、金蝶等

虚拟化程序和服务:VirtualBox,VMware。等。

GPS相关命令:GPSDaemon,GPSUserSvr,GPSDownSvr,GPSStorageSvr,GPSDataProcSvr,GPSGatewaySvr等

在加密文件之前，勒索软件会窃取系统信息，如操作系统版本、桌面名称等，并通过如下所示的POST请求将其发送到命令与控制(CC)服务器。

勒索软件对加密文件附加“.Mallox”作为文件扩展名，并在文件夹中放置一个勒索通知，如下所示。

下图显示了在受害者系统上投放的赎金通知

勒索信还包含一个私人聊天链接，供受害者与威胁行为者连接。聊天页面包含的信息，如TargetID，硬盘大小，支付详情等。

总结

在过去的几天里，我们观察到Mallox勒索软件组织的活动迹象有所增加。勒索软件组正在使用一个新的定制的加载程序，用于下载和执行勒索软件。此外，Mallox勒索软件执行后会试图停止与gps相关的服务，表明他们的目标可能是经营运营技术和关键基础设施的组织。

IOCs

Indicators

IndicatorType

Description

2456c01f5348e5c08f7e818d51862c1a625be3e4dbfb0bd35c9cda216a9bca7232dbec0734da973f1d154672b245f7a13e6268b4ffc88dea1ca608206b32759ec5be040c

MD5SHA1SHA256

Mallox

Loader

b739be28cb9a30868112d4786bc11d37296e19773f6fb7190d914ac556abe0125e5d7aa5b3ccec8ca26bc3b6597ddb0424a455eb7809e7608f5d62f6c7f5d757d4d32253

MD5SHA1SHA256

86344d7e6e5b3732cbbe13921694be80b2fd5d8007c8155bee018c32fecbbb64606198c158f79287b215343d286adf959e89acb054f8f3db706f3c06f48aa

MD5SHA1SHA256

Mallox

Payload

688e0b37794395cfecaf9cc519e3c26a,d215d4166dfa07be393459c99067319036eb80ba,77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6755d0dbd9f80a5

MD5SHA1SHA256

Mallox

Loader

6080b540d975b7a4f66cd54ee83ed60062324b38a5a5a2533f3bd401d7afd1c6c4235b0889c9c14af6ab4f3f93705325dbc32bde6c232d26d22e8f835db24efc18007ea4

MD5SHA1SHA256

Mallox

Loader

2ffae162e07ba8debdf25694e8fd8325a1289c3e585e091a7c8f89869a76e40f7e3880fdd691f44b587c6ed47c2d57b2bf99323877821a318cb0d5aa9899c40a44e81ef3

MD5SHA1SHA256

Mallox

Loader

cacbed12b83529ebb99b0297d52b0749db6d67f55bce0425baef2348e70f1478d022820e58726aac2652bedfe47b7e1c73ba39d028e2e6ad188f4ed735d614097be4a23b

MD5SHA1SHA256

Mallox

Loader

da3f02b82e982f5ce5a71d769a067f3be165cac5ab2b2312f7ed8569c69a75bae48b83167164ba41639c8edcd9ff1cf41a806c9a23de566b56a7f34a0205ba1f84575a48

MD5SHA1SHA256

Mallox

Loader

38454291f7b871d71a512b5dd5100d9e9e9c04f00822aacaa15d0bcc4749f8e6920d455045391bfbb06263f421ac739e1e4b438fb99a0757dcecc68de79b2dbe02c1641e

MD5SHA1SHA256

Mallox

Loader

7be2a76577f6ee05ec08c77c41cd9dd4f3cfca7a2160559aa62b4cf42cd15870a4abcae787a923319c6ea74a9cef5ed7528afdbd4a05e7600ce7f4359e5990ff8769a2ff

MD5SHA1SHA256

Mallox

Loader

6e542eda455e8c8600df96874c8deceb670530d36967c5927955d31052dff165a187c1f2d755cd96077cebbed84a86e69d1fd84b95e3e5763abc8ac8ec0a7f1df30e9585

MD5SHA1SHA256

Mallox

Loader

hxxp://80[.]66[.]75[.]98/

URL

Malicious

URL

hxxp://193[.]106[.]191[.]141/QWEwqdsvsf/

URL

ConnectedURL