黑客主动和你聊天的Mallox勒索病毒

“TargetCompany”是一种勒索软件，于2021年6月首次被发现。研究人员将其命名为TargetCompany勒索软件，因为它将目标公司名称作为文件扩展名添加到加密文件中。2022年9月，研究人员发现了一个针对微软SQL服务器的TargetCompany勒索软件变种，并用“Fargo”作为加密文件的扩展名。众所周知，TargetCompany勒索软件还会在加密文件后添加“Mallox”扩展名。

不过有趣的是 ，感染病毒后，勒索信还包含一个私人聊天链接，供受害者与威胁行为者连接。聊天页面包含的信息，如TargetID，硬盘大小，支付详情等。黑客还在聊天页面中为受害者提供了上传加密样本以测试解密的功能

安全研究人员最近观察到Mallox勒索软件样本的激增。下图显示了Mallox勒索软件样本传播情况的统计数据，该数据表明勒索软件在最近几周是活跃的传播迅速的并且感染了很多用户。

这些Mallox勒索软件样本由定制的加载程序下载并加载。加载程序会从远程服务器下载Mallox勒索软件，并加密受害者机器中的文件。此外，该勒索软件组织还维护了一个公布受害者泄露信息的站点，其中包含与勒索软件攻击受害者有关的信息。下图显示了Mallox勒索软件的站点信息

技术分析

加载器

这个未知的基于.net的加载器用于下载Mallox勒索软件。研究表明，该加载程序会下载其他恶意软件家族，如Agentesla, Remcos, Snake keylogger等。这个加载器通常通过不同类型的垃圾邮件来传播，以引诱用户下载并执行电子邮件附件。

加载器具有下载功能，会从远程服务器下载加密的恶意内容，在加载器内存中解密然后执行。加载程序在内存中执行恶意内容，而不将实际负载保存在磁盘中，以逃避反病毒检测。加载器下载带有文件扩展名(如png、jpeg或bmp)的加密有效载荷。

加载器是32位.net可执行文件，文件名为“Cqasdqtamip.exe”

Sha265为e3a0bbd623db2b865fc3520c8d05e8b92016af2e535f0808460295cb8435836a。其他详细信息如下图所示。

加载程序执行后，会从URL hxxp://80[.]66[.]75[.]98/Chseiyk.jpeg下载加密的恶意内容。

下图显示了硬编码的URL和下载文件的代码。

下载后加载器将加密的内容保存在内存中并解密它。恶意内容使用密钥“Cwgoawrnxz”通过AES加密算法加密，该密钥在加载程序的二进制文件中硬编码。下图显示了内存中的加密有效负载和解密密钥。

加载器现在解密负载后获得内存中的实际勒索软件二进制文件，并进一步执行该二进制文件以执行勒索软件活动。下图显示了内存中的解密勒索软件DLL文件

Mallox勒索软件有效载荷分析

下载并解密的文件是一个基于.net的32位DLL，名称为“Wwxjdcapjnmuq.dll”，sha256为

b64606198c158f79287b215343d286adf959e89acb054f8f3db706f3c06f48aa。

下图显示了其他详细信息

这个DLL文件被IntelliLock混淆器进一步混淆，使恶意软件逆向分析更加困难。加载程序现在使用assembly . load()函数将解密的勒索软件DLL作为程序集加载。

加载DLL后加载器从DLL文件中枚举方法，并从加载的程序集创建方法名称和对象列表。然后创建用于执行勒索软件代码的方法的线程池。下图显示了将DLL作为程序集加载的代码和创建用于执行勒索软件代码的方法列表和线程池

在创建线程池之后，加载器使用invokember()函数创建执行线程。下图显示了创建执行线程的代码

执行后，勒索软件将批处理文件axfiysgodtrlqmrgpchkiller .bat放入临时文件夹并执行它。此批处理文件将停止许多服务和程序，以便在加密过程中不中断对相关文件的加密操作。

批处理文件内容如下图所示

有趣的是，勒索软件还会停止gps相关程序，这表明勒索软件的目标可能是关键基础设施部门的组织。下图显示了停止运行gps相关程序的命令。

勒索软件会禁用一些服务，并停止系统中正在运行的程序。一些重要的服务和计划是:•数据库相关服务:MSSQL、MSSQL服务器、PostgreSQL、Oracle等。

• 备份相关服务:VSS、Veeam等
• Windows相关程序:OneDrive, Excel, Outlook, WinWord等
• 文件共享与服务器相关程序:FileZilla FTP Server、Apache Tomcat Server、Microsoft Exchange Server、OpenSSH、WAMP Server、Nginx等
• 企业管理软件:SAP Business One、Jenkins、Redis、SVN Server、Turbo CRM、金蝶等
• 虚拟化程序和服务:VirtualBox, VMware。等。
• GPS相关命令:GPSDaemon, GPSUserSvr, GPSDownSvr, GPSStorageSvr, GPSDataProcSvr, GPSGatewaySvr等

在加密文件之前，勒索软件会窃取系统信息，如操作系统版本、桌面名称等，并通过如下所示的POST请求将其发送到命令与控制(C&C)服务器。

勒索软件对加密文件附加“.Mallox”作为文件扩展名，并在文件夹中放置一个勒索通知，如下所示。

下图显示了在受害者系统上投放的赎金通知

勒索信还包含一个私人聊天链接，供受害者与威胁行为者连接。聊天页面包含的信息，如TargetID，硬盘大小，支付详情等。

总结

在过去的几天里，我们观察到Mallox勒索软件组织的活动迹象有所增加。勒索软件组正在使用一个新的定制的加载程序，用于下载和执行勒索软件。此外，Mallox勒索软件执行后会试图停止与gps相关的服务，表明他们的目标可能是经营运营技术和关键基础设施的组织。

IOCs