银狐也想来世界杯分一杯羹?新家族开始为“菠菜”平台增设广告位!
-
作者:火绒安全
-
发布时间:2026-07-13
-
阅读量:1088
一、概括
近期,火绒安全实验室在监测网络安全过程中发现了异常情况。经过溯源与技术分析,这是银狐黑产使用新的样本针对中国国内用户。伪装为压缩包、视频剪辑、Microsoft商店等应用的安装软件的投毒。
银狐组织在本次攻击中,与以往不同的点在于,恶意代码的设计是以插件的形式加载。这就导致灵活多变的组合,本次下载获取的插件是一个有关于世界杯广告弹窗投递的插件(涉及赌球“菠菜”等)。
该样本在保持后门一直存在的情况下,窃取用户信息,控制用户电脑。可以以插件的形式多次为用户安装其他软件包括但不限于弹窗广告软件。
目前火绒安全产品已经实现对该行为的拦截与查杀。

查杀图
二、运行流程

流程图
三、样本分析
本篇文章提到的4个样本基本相同,后续详细内容只针对1个样本进行描述。不对其他样本进行过多赘述。
执行初始化
Rust启动器
通过多项检测环境来检验该程序是否被调试或者在沙箱、虚拟机等环境。

通过AES算法解密将要释放的3个载荷,首先通过异或算法解密得到文件名称Cache.pmt。后续通过AES解密得到载荷释放到路径C:\Program\CalendarSync\Cache.pmt下。

最终通过CreateProcessW函数来启动CalendarSync.exe程序。

加载载荷MasMIX32.dl分析
恶意MasMIX32.dll首先会通过异或0x37解密得到Cache.pmt的名称,通过hash获取读取文件api函数的地址。

然后通过自定义RC4算法+RtlDecompressBuffer组合解密下一阶段Shellcode。RC4密钥B734BF22E076BDB05AAF549038D4E5F1。

最后通过反射dll在自身申请内存,运行在自身内存中。

注入载荷Cache.pmt分析
由于该文件使用了大量混淆,包括控制流扁平化,不透明谓词,花指令,以及轻量级的VMP混淆。代码阅读效果就由作者构造伪代码来解释。
主要的执行逻辑为,创建互斥体->COM初始化->提权->注入->写入注册表->篡改IP路由表。

互斥体模块,创建互斥体Global\{CFE43A7D-B0E3-40E9-9919-13DEE7900CF8}

提权模块,通过多个api的连续调用达到提权的目的。

创建注册表,写入注册表中是加密的。解密后的结构如下:
文件路径
服务名称1
服务名称2
加密的下一阶段dll文件。

劫持网关,通过修改ip路由表来达到劫持网关的目的。

共享内存注入,通过NtMapViewOfSection等api调用链,为创建的TieringEngineService.exe创建共享内存。挂起线程修改eip恢复线程启动。

注入载荷2 - TieringEngineService.exe分析
注入载荷2是最终功能调度的前一级。在TieringEngineService.exe中运行。主要功能为循环读取注册表值HKLM\SOFTWARE\Microsoft\Tracing\choco_RASAPICS注入进程backgroundTaskHost.exe程序。

通过进程镂空的方式,挂起的方式启动backgroundTaskHost.exe程序,注入,恢复线程。

回传数据与插件安装
最终载荷-backgroundTaskHost.exe分析
最终载荷通过死循环一直与gawdkl.fit保持连接。

功能调度涉及到的指令非常多。后续插件的安装都是通过指令完成。

总计80条指令,有效指令为41条。下方按照功能归类指令。归类五大类分别对应:
基础控制与信息采集
远程控制
进程与系统管理
多媒体操作
插件系统



在测试期间得到指令顺序为

插件安装接收回来的数据写入在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\choco_crm\ID\Bin32。通过解密实际上是下载者。每30分钟下载一次。

最后从https://s3.ap-east-1.amazonaws.com/0xdadb0d80178819f2319190d340ce9a924f783711/PopAD.exe下载回该广告弹窗软件并执行。

同时还有验证文件PopAD.exe.meta文本,该文本记录更新时间是否正确。这也是判断该软件时效性的依据之一。Wed, 01 Jul 2026 15:08:37 GMT对应北京时间2026年7月1日23:08:37。

弹窗广告PopAd.exe
通知上线的C2以明文的形式存在https://dnyk123.xyz/boot与api token用于服务器验证QHf1GHeq3zV-6pTPsCRwYpJpMyMyspNdaA059i3WpIk。

拉取在线弹窗广告配置是以浮点寄存器存储拼接而成,https://www.167badaeayn.com/file/sindata

通知上线时会系统信息采集发送回客户端,包括UUID、硬件配置文件 GUID、计算机名、Windows 产品名、NT Build 号、用户区域语言、广告标识符、是否点击 (0/1)、自身版本。发送至https://dnyk123.xyz/boot

创建进程互斥锁Global\\PopAD-{21A392EE-DEB5-4CF7-88A8-9568C8361800}

从https://www.167badaeayn.com/file/sindata下载相关配置数据至内存全程不落地,在内存中运行,解压相关配置信息,包括广告频率,广告指向url等信息。

获取的数据。
数据解读:素材存放于0xdadb0d80178819f2319190d340ce9a924f783711.s3.ap-east-1.amazonaws.com/skins/skin.dat
推广目标mtylive.com
弹窗事件:第一次5-6分钟弹出,后续3小时间隔弹出。

右下角弹窗信息

点击该弹窗跳转的页面。观看世界杯并且赌球“菠菜”相关。

四、总结说明
伪装的软件wenhan1的图标属于7Z解压软件,mulu的图标是BS Studio一款视频录制和视频实时交流的图标。StoreInstaller的图标是Microsoft商店的图标。

即使没安装火绒的朋友,也为大家提供手动查杀方式:
文件目录1:C:\ProgramData\xxxx\Cache.pmt 文件大小约8694kb
文件目录2:C:\ProgramData\xxxx\xxxx.exe 文件大小任意即可
文件目录3:C:\ProgramData\xxxx\xxxx.dll 文件大小约106kb
注册表目录1:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\choco_crm
注册表目录2:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\choco_RASAPICS
文件目录1、2、3为同一目录。
xxxx代表随机字符串,长度不固定。满足3个文件目录+任意注册表目录就代表已被感染。
下方给一个验证是否感染的截图供大家参考,其中可能会添加一些其他格式的配置文件config.json config.toml都无实际意义,是为了让整体文件夹看着更真实,更贴近正常软件。


注:如果需要注册表解密脚本请关注火绒安全微信公众号,对接工作人员索要
五、IOC信息
Md5:
3db3678944d709bc08530b411c83ed5e
182861b5207152e067f94eeed4f1face
ab110ee1f64b9ce1c00c6dc5a3879b85
cb980b731cd5dc476435750d758790bf
C2:
银狐相关:
gawdkl.fit
广告相关:
mtylive.com
dnyk123.xyz
167badaeayn.com
0xdadb0d80178819f2319190d340ce9a924f783711.s3.ap-east-1.amazonaws.com